情報セキュリティ対策のための「セキュリティ・アクション一つ星」
ども、ならなすおです。
今回、中小企業さん向けの情報になります。
取り上げるのは、「セキュリティ・アクション」。
これも、IT導入補助金の申請要件になっているほか、いくつかの補助金申請に関連しています。
公式サイトは↓です。
こないだ「DX体験記」で取り上げた「IPA(情報処理推進機構)」さんが扱っている制度ですね。
例によって、弊社でトライしてみました。
私ね、こんなこと書くと仕事が減るかもしれませんけど、「DX推進します!」とか語っている割には、情弱(情報弱者)です。
こないだなんて、「noteのタイトル画像の投稿ができなくなった-」ってnoteの運営さんに泣きついたら、『それ、ブラウザ拡大し過ぎてて「保存」ボタンが表示されてないだけでは?』って言われて、「Ctrl+ぐりぐり」(Winで画面の大きさを変える操作)でダウンサイズしたら即解決、、、
運営さんの言うとおり、、、
「いつもこんな情弱に構ってくれてありがとうございます。」ってお礼しときました。
noteの運営さんは、マジ親切です。
そんな私が、情報セキュリティ?大丈夫か??
それが大丈夫なのが「セキュリティ・アクション」
内容、マジで充実です。
必要なガイドラインとか、付録とか、ダウンロードして持っときましょう!
すげー親切。丁寧。新宝島。
補助金関係なく、中小企業さん、これはやっといた方がいいっす!
今回は、そんな「ど素人がセキュリティ・アクション自己宣言してみた!」じっくり解説していきたいと思います。
よろしくお付き合いください。
それでは本編、スタートです!
(1)セキュリティ・アクションとは
①なぜやるか?
まず、やる意味です。
「SECURITY ACTION」は中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度です。
中小企業と言えど、お客様の情報を預り、自社情報を保管しています。
それらの大切な情報が盗まれたり、コンピュータがウイルスに感染して動作がおかしくなったり、悪い業者から脅されたり、図らずも自社のPCが不正の片棒を担がされたり、、、
そういうネットに潜む脅威って、全然他人事ではないです。
情報を不正取得、使用しようとしている方々にとって、「セキュリティの甘いPCが1台ネットにつながっている」というのは、とんでもなく美味しい情報です。
不正を仕掛けるために「ガードの甘いPCはないか・・・」「盗めるデータはないか・・・」と、虎視眈々と探しています。
自社が小さいからと言って、情報セキュリティを気にかけなくて良い訳ではないのです。
②IPAは「認定」はしない
後に書きますが、セキュリティ・アクション自己宣言、超簡単です!
IPA(独立行政法人情報処理推進機構)は、ガイドラインに定めた必要書類が出てくる限り「だめよ」とはいいません。
つまり「自己宣言」であって、「認定」ではないので、「おっしゃー、弊社セキュリティアクションの認定取れたー!!」とか言えないです。
ただ、「弊社は、情報セキュリティに気を使ってる会社です」という事を、対外的に知らしめる材料にはできます。
そして、IT導入補助金など、いくつかの支援制度が活用できるようになります。
情報セキュリティについては、その道のプロであっても「万全」というのは難しいと思います。
でも、「全く考えてない企業」と「少し考えている企業」があって、「どっちに自社情報を渡しますか?」と聞かれたら、皆さんどうですか?
(AIで生成)
(2)ガイドライン
IPAは、「セキュリティ・アクション自己宣言」の前段として「中小企業の情報セキュリティ対策ガイドライン」というのを作っています。
そして、8つの付録を公開しています。
↓です。
これらが、素晴らしく分かりやすい!
中小企業の皆さん、「一社に一台」くらい大事なやつです。
これをダウンロードして持っといて、時々読んだり使ったりするだけで、相当違います。
本文は長いので、8つの付録っての、少し解説しますね。
付録1 情報セキュリティ5か条
「これだけ気を付けて!」というポイント5つです。
付録2 情報セキュリティ基本方針
会社で定めておいたほういい「基本方針」のサンプルです。
「セキュリティ・アクション二つ星」というのを宣言するときは、これを作って対外公表します。
付録3 5分でできる!情報セキュリティ自社診断
上に載せたリンクにはPDF版が上がっていますが、↓からエクセル版を入手すると入力できます。
情報セキュリティ上、気を付ける事、実施すべきことなどを確認できます。
付録4 情報セキュリティハンドブックひな形
従業員に情報セキュリティ体制を周知するための冊子のひな形です。
付録5 情報セキュリティ関連規程サンプル
二つ星宣言をする場合は、これを検討してみた方がいいです。
付録6 クラウドサービス安全利用の手引き
クラウドサービスは、変なのを使うとリスクが高まるので、安全に利用するための手引きです、
付録7 リスク分析シート
これも二つ星宣言をする際にガッツリ検討した方がいいです。
自社が持っている情報資産の重要度、漏出リスク等を細かく記入する様式です。
この手の作業が、「業務の棚卸」につながり、とても有用です。
付録8 インシデント対応の手引き
万一問題が起きてしまったとき(インシデント:incidentと言います)の対応手引きです。
「これらをやったらばっちり安全!」という訳ではないです。
ただ、何もしないより、やっておいた方が、いいと思います。
中小企業診断士は、企業が台風や震災、津波との被害を想定して作る「事業継続計画(BCP:Business Continuity Plan)」の策定をサポートしたりします。
これも、「巨大災害が来たら全部壊れちゃうんだから、意味なくね?」という人もいますが、私はとても重要な作業だと思います。
「自分たちではどうしようもないインシデント」は確かにあります。
ですが、「弱い我々だが、精一杯想像を膨らませ、対応を計画しました」という姿勢は、金融機関にも、取引先にも、行政にも、好印象を与えるでしょう。
そして、社員の一体感を高め、日々の業務を精査する機会にもなります。
何かが起きた時、「やっておけばよかった・・・」と思わないために。
今回私は、一企業としてセキュリティ・アクションに向き合ってみて、少し手間がかかるけど、「二つ星宣言」までやってみよう、と思いました。
また、頑張って二つ星宣言をされた企業さんに、敬意が湧きました。
オーラでスパイとわかります
後ろの人が多分スパイのボスです
(AIで生成)
(3)取組目標決め
さっきから、一つ星とか、二つ星とか言ってますが、これらは、セキュリティ・アクション自己宣言の目標設定です。
それぞれの宣言ごとに、使えるロゴマークがもらえて、ホームページにそれを貼ったりして、会社の信用度を高めます。
「☆一つ星」ロゴマークを使用するには・・・
付録1「情報セキュリティ5か条」に取り組むことを宣言します。取組んでください。
「☆☆二つ星」ロゴマークを使用するには・・・
付録3「5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、付録2「情報セキュリティ基本方針(サンプル)」を定め、外部に公開します。
付録5の規程、付録7のリスク分析シートも、作り込むことをおススメします。
「☆☆☆三つ星」ロゴマークを使用するには・・・
まちゃあきさんの許可が必要になります。
IPAにはまちゃあきさんはいないので、三つ星という制度はないです。
(すみません。三つ星はないです。ここだけネタです。ご容赦ください。)
相変わらずよそ見をする社長
(AIで生成)
(4)申込フォームに入力
お待たせしました!
やってみました。
まずは一つ星宣言。
「情報セキュリティ5か条」とは、↓です。
1 OSやソフトウェアは常に最新の状態にしよう!
2 ウイルス対策ソフトを導入しよう!
3 パスワードを強化しよう!
4 共有設定を見直そう!
5 脅威や攻撃の手口を知ろう!
ふむふむ、これをやるのね。
では、申込をば!
フォームに、企業情報を入力していきます。
で、、、
え?
終わった?
入力、終わりました。
一つ星宣言は、「5か条をやります」という宣言なので、具体的な個別の入力項目はないみたいです。
んで、8月14日に入力したんですが、15日には「OK」の連絡がIPAから届いてました。
1~2週間で、ロゴマークを使えるようになるそうです。
よーし、届き次第、次に二つ星、取りにいくぞー!
ディスプレイが裏から見えてるんで
その時点で漏洩しているのでは?
(AIで生成)
(5)終わりに
セキュリティ・アクション一つ星宣言は、驚くほど簡単でした。
そして、この制度は、しっかりやっておく必要があるな、と痛感しました。
真面目に、近日、二つ星宣言を取りに行って、記事を書きます。
二つ星は、ホームページ等で「外部に公開」しないといけないってのが少し厄介ですが、幸か不幸か、弊社のホームページ、そろそろ何とかしようと思ってたんで、一緒にやります、、、
補助金加点関係では、もう一つ「DX認定」という、かなり重たいのがあります。
これも、後日、トライしてみたいと思います。
中小企業さんの経営力強化に、少しでも役立っていたら嬉しいです。
今回も、ご覧いただき、ありがとうございました。
この記事が気に入ったらサポートをしてみませんか?