中小企業の情報セキュリティ対策ガイドライン 解説 その3
本格的な情報セキュリティ対策へのステップ
「中小企業の情報セキュリティ対策ガイドライン第3.1版」では、組織的な取り組みの次のステップとして、「本格的に取り組む」段階に進みます。
この段階では、より高度な情報セキュリティ対策を実施し、継続的な改善を図ることが求められます。
具体的には、以下の5つの取り組みを重点的に行います。
1. 情報セキュリティ管理体制の構築
本格的な情報セキュリティ対策には、責任と権限を明確にした体制が必要です。組織の規模や業種、ITの利用状況に応じて、適切な体制を構築しましょう。
ガイドラインでは、以下の役割を例として挙げています。
情報セキュリティ責任者(例:代表取締役)
情報セキュリティ管理者(例:情報システム部門長)
教育責任者
点検責任者
システム管理者
各役割には、それぞれ以下のような責任と権限が与えられます。
情報セキュリティ責任者: 情報セキュリティ対策の方針を決定し、全体を統括する。
情報セキュリティ管理者: 情報セキュリティ対策を企画・実施・運用する。
教育責任者: 従業員に対する情報セキュリティ教育を企画・実施する。
点検責任者: 情報セキュリティ対策の実施状況を点検する。
システム管理者: システムのセキュリティ対策を実施する。
小規模な企業では、すべての役割を専任で置くことが難しい場合もあるため、兼任することも可能です。
ただし、誰か一人にすべての責任を負わせるような体制は避けるべきです。
また、緊急時対応体制の整備も重要です。
情報漏えいやシステム障害などのインシデントが発生した場合に備え、誰がどのような役割を担うか、連絡体制はどうするかを事前に決めておく必要があります。
2. DX推進と情報セキュリティ予算化
近年、企業の競争力強化のためにデジタルトランスフォーメーション(DX)の推進が求められています。
DX推進に伴い、クラウドサービスなど、インターネットを活用したサービスの利用が増加する一方、サイバー攻撃のリスクも増加しています。
そのため、DX推進と情報セキュリティ対策は両輪で進める必要があります。情報セキュリティ対策に必要な予算を確保し、最新の脅威に対応できる体制を構築しましょう。
予算化する際には、以下の費用を考慮する必要があります。
セキュリティ対策ソフトの導入・更新費用
セキュリティ機器の導入・保守費用
従業員教育費用
専門家への委託費用
保険料
3. 情報セキュリティ規程の作成
組織全体で情報セキュリティ対策を徹底するために、情報セキュリティに関する規程を作成することが重要です。規程には、以下の内容を盛り込みましょう。
情報セキュリティ基本方針
従業員が遵守すべき事項
アクセス制御に関するルール
データの持ち出し・破棄に関するルール
パスワード管理に関するルール
ウイルス対策に関するルール
インシデント発生時の対応手順
ガイドラインでは、付録5「情報セキュリティ関連規程(サンプル)」が提供されています。
サンプルを参考に、自社の事業内容や規模、IT環境に合わせて、必要な項目を追加したり、修正したりして、独自の規程を作成しましょう。
4. 委託時のセキュリティ対策
業務の一部を外部に委託する場合、委託先における情報セキュリティ対策が不十分だと、情報漏えいなどのリスクが高まります。
委託先にも情報セキュリティ対策を徹底させるために、以下の対策を講じましょう。
委託先選定時のセキュリティチェック: 情報セキュリティに関する基準を満たしている企業を選定する。
契約書へのセキュリティ条項の明記: 守秘義務、情報セキュリティ対策の実施、インシデント発生時の報告体制などを契約書に明記する。
委託先への情報セキュリティ教育: 委託先の担当者に対して、情報セキュリティに関する教育を実施する。
委託先における情報セキュリティ対策の定期的な確認: 委託先における情報セキュリティ対策の実施状況を定期的に確認する。
5. セキュリティ対策の点検と改善
情報セキュリティ対策は、導入して終わりではありません。
定期的に点検を行い、必要に応じて改善していく必要があります。点検には、以下の方法があります。
自己点検: ガイドラインの付録3「5分でできる!情報セキュリティ自社診断」などを活用して、自社の情報セキュリティ対策の実施状況を点検する。
外部監査: 専門家による監査を実施し、客観的な評価を受ける。
点検の結果、問題点や改善点が見つかった場合は、速やかに対策を講じましょう。
情報セキュリティ対策は、継続的な取り組みです。
ガイドラインを活用し、計画的に対策を進めることで、情報セキュリティ事故のリスクを低減し、安全・安心な事業活動を実現しましょう。