IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」について解説をしていきます。
情報セキュリティ対策は、後回しにしている企業が意外と多い現状にあります。
中小企業は狙われないと思い込んでというか、思い込んでおきたいというところだと思います。
今や、インターネット環境に接続していない企業はないのではないでしょうか。インターネットに接続しているということは、知らない間に何らかの攻撃を受けている可能性が確実にあいります。
取引先等を通じてターゲットとなる企業へ攻撃をしかける手口もありますので、知らない間に加害者にされてしまうという恐れもあります。
その際に、本来、被害者であるはずなのに、「十分な対策をしていないから、攻撃に利用された」として責められる立場となってしまいます。
これまで築きあげたものが一瞬で失われてしまいます。はあまりにも悲しいですし、もったいないことです。
- 企業の担当者として危機感を感じているけれど、経営者が理解を示してくれない
- 経営者として危機感を感じているが、従業員が無関心
どちらにも使えるのが、ここでご紹介する「中小企業の情報セキュリティ対策ガイドライン」です。
ガイドライン策定の背景とねらい
2020年の東京オリンピックに向け、サイバー攻撃のリスクが高まることもあり、企業に対して情報セキュリティ対策を求めています。
もちろん、企業の側としても、システム機器関連の事件・事故が発生した際には、大きなダメージを受けることを知っています。実際に業務に支障をきたすリスクと、信用失墜のリスクがあり、その内容によってはマスコミにより大きく報じられ、直接関係のないところにまで広く知られることとなってしまいます。
そこで、対策を検討するのですが、特に中小企業にとっては、社内に詳しい人がいるとも限らず何から取り組めばいいのか、わからないのが実情です。
こうした社会的背景により策定されたのが、「中小企業の情報セキュリティ対策ガイドライン」となります。
経営者が認識すべき3原則、経営者がやらなければならない重要7項目の取り組みを明確に示しました。
ガイドラインの特徴
こうした、すべきことを列記したガイドラインは多々ありますが、このガイドラインが他とことなるのは、具体的な進め方について手順を分かりやすく説明し、すぐに使えるフォーマットや各種ひな形を一緒に公開していることです。
情報セキュリティ対策は、まんべんなく全方位から対策を施すことが重要で、どこか一か所でも弱いところがあると、そのレベルに全体が引き下げられるという特徴があります。よく、桶に例えられ、1枚でも短い板があるとそこから水が漏れてしまうイメージです。
自分であらゆる可能性を調査し、対策を検討することは限界があります。自分の得意な分野は十分な対策を検討することができますが、苦手な部分や知らない部分はどうなるでしょう。そのまま、放置されて大きなセキュリティホールとなってしまいます。
こうしたガイドラインを活用することで、ベースラインを効率的に構築することができます。
そこで、どういった対策をしたらいいのか、何からしたらいいのかという相談をいただいた方には、まず、このガイドラインの活用をおすすめしています。