セキュリティ・アクション二つ星に挑戦

ども、ならなすおです。
今回、中小企業さん向けの情報になります。
 
私、2024年8月18日にアップした『情報セキュリティ対策のための「セキュリティ・アクション一つ星」』という記事で、IPA（情報処理推進機構）さんが窓口になっている情報セキュリティの自己宣言制度「セキュリティ・アクション」というものの初歩（一つ星宣言）をやったんですね。

 
一つ星宣言をした証として、私の会社「合同会社それがし」は、一つ星のロゴマークが使えるようになりました。
 
今回は、それの続編。
 
情報セキュリティの取組をもう一歩進めた、「二つ星」というのにチャレンジしてみます。
 
繰り返しになりますが、セキュリティ・アクション（IPA：情報処理推進機構所管）の公式サイトは↓です。

SECURITY ACTION セキュリティ対策自己宣言

本稿で添付している画像は、IPA発行「中小企業の情報セキュリティ対策ガイドライン」の付録を抜粋したものと、それらを参考に自社「合同会社それがし」で作った制作物です。
 
早速本編、スタートです！

（１）一つ星と二つ星の違い

まず、セキュリティ・アクションですが、中小企業や個人事業主が、お客様の情報を漏洩させたり悪用させたりしないための「情報セキュリティ対策」に取り組むことを「自己宣言」する制度で、その自己宣言をしたら、IPAから星マークがもらえます。
 
一つ星では、「情報セキュリティ5か条」という、最初に取り組むべき事柄に、「取り組むぞー！」と宣言します。
 
二つ星では、「中小企業の情報セキュリティ対策ガイドライン」に従って、自社の対策状況を診断し、「情報セキュリティ基本方針」という規程を定めて対外公表します。
 
星マークをもらうと、「その会社が情報セキュリティ対策に取り組んでいます」とアピールでき、一部の補助金では申請要件を満たすことができます。

①一つ星

以下の5つを「やります」って言うだけの自己宣言です。
・OSやソフトウェアは常に最新の状態にしよう！
・ウイルス対策ソフトを導入しよう！
・パスワードを強化しよう！
・共有設定を見直そう！
・脅威や攻撃の手口を知ろう！

②二つ星

「中小企業の情報セキュリティ対策ガイドライン」の内容に踏み込んで、以下の2つをやります。
・自社の状況を把握
・会社として取り組む姿勢を公表
 
二つ星では、会社の「情報セキュリティ基本方針」を作って、ホームページやパンフレットなどで公表する必要があります。
 
また、私は、上記の取組だけだと少しもったいない気がしたので、私はもう少し踏み込んで自社の情報セキュリティ体制を見直してみました。

（２）最低限やる事

二つ星自己宣言に必要なのは、↓の2つの事柄です。

①5分でできる自社診断

まず、自社の情報セキュリティの取組状況が進んでいるのか遅れているのかを知るため、「自己診断」をしてみます。
 
診断フォーム（エクセルファイル）は、↓からダウンロードできます。

5分でできる！情報セキュリティ自社診断 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

中味ですが、下記のようなフォームになっています。
項目ごとに、「実施している」「一部実施している」「実施していない」「わからない」を選択することで、点数が表示されます。

IPA「5分でできる情報セキュリティ自社診断」より抜粋

IPA「5分でできる情報セキュリティ自社診断」に弊社情報を記入。
点数が表示され、業種平均との比較も可能になりました。

②基本方針の作成

次に、自社診断の結果を踏まえ、「情報セキュリティ基本方針」を定めます。
ひな形は（というか必要な様式はほぼ全て）、↓からダウンロードできます。

中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

ほぼひな形どおりでOKです。
この基本方針は、自社ホームページに貼り付ける、会社パンフレットに追記するなど、対外公表が必要です。

IPA様式を弊社用にアレンジ

この2つが終われば、IPAに対し、二つ星自己宣言をしたことの報告ができます。

（３）これもやっといた方がいい

前章で触れた2つは、すぐできちゃいます。
でも、その作業で、「中小企業の情報セキュリティ対策ガイドライン」を十分に理解できるかというと、不足感は否めません。
 
私は、二つ星宣言に合わせ自社の情報セキュリティ体制を確認したかったので、追加で以下の2つをやりました。

①関連規程の整備

「中小企業の情報セキュリティ対策ガイドライン」の付録5に、「情報セキュリティ関連規程サンプル」というのがあり、これを自社用にアレンジすることで、社内規程を作ることができます。
弊社は、このサンプルを元に、「情報セキュリティ対策規程」を作りました。
 
この作業、かなりめんどくさいです。
しっかり見ていくと、数時間はかかります。
でも、やった方がいいです。
情報の安全な管理、持ち出すときの注意、問題が発生した時の対応、テレワークの注意事項などがコンパクトにまとめられていて、分かりやすいです。
（私はIT専門家ではないので、一部の言葉の意味は分かりませんでしたが）
 
この規程を自社向けにきれいに作っていく作業だけで、とても勉強になります。

サンプルの表紙（抜粋）

②情報資産管理台帳の作成

もう一つ、大事な様式があります。
「中小企業の情報セキュリティ対策ガイドライン」の付録7に「リスク分析シート」というエクセルファイルがあるんですが、これが、「情報資産管理台帳」になります。
お客様のデータや自社のデータが、どんな紙ファイルに、電子ファイルに存在しているのか？
それらの管理上、漏洩、遺失などのリスクはどの程度なのか？
 
情報資産管理台帳に情報の所在を記載していく中で、「この情報、ここに置いといていいのかな？」とか、「整理の仕方、工夫しよう」という事柄に思い当たります。
こういう気づき、整理が、経営にものすごく役立ったりします。

情報資産管理台帳（記載例）

これら2つの作業は、自社の情報セキュリティを考えるうえで極めて重要なので、二つ星自己宣言をするタイミングで是非やっておくことをおススメします。
 
なお、本当は社員用の「情報セキュリティハンドブック」というのも作った方がいいんでしょうが、弊社は一人会社なので、それはまだ作っていません。

（４）おわりに

クラウドサービスの利用で、会社のデータをネット上で操作・保存する機会も増えたと思います。
営業にも紙資料でなくタブレットを使うため、タブレット持ち出しに付随して他の情報も持ち出すおそれがあります。
また、テレワークの場合、公共WiFiを使いたくなる時もあります（私は使いませんが）。
情報が漏洩したり、悪用されたりするリスクは、高まっています。
 
顧客情報漏洩は、即倒産につながりかねない重大問題です。
そもそも、顧客に対し、「すみません、不注意で情報が洩れちゃいました」とか言えませんよね？
 
現代、情報セキュリティは、顧客サービスの根幹をなす重要事項になりつつあります。
 
IPAセキュリティ・アクション自己宣言は、簡単な入口から、その重要性を学ぶ絶好の機会です。
 
一社でも多く、取り組んでくれるといいな、と思います。
 
今回も、ご覧いただき、ありがとうございました。