中小企業の情報セキュリティ対策ガイドラインをわかりやすく解説

「中小企業の情報セキュリティ対策ガイドライン」は、中小企業でも進むDXやテレワーク、ハイブリッドワークの普及に対応するため、2023年4月に改訂されました。本ブログでは、ガイドラインの概要や改訂のポイント、対策を行わない場合のリスク、ガイドラインの実践方法、本格的な取り組みについて解説します。

中小企業の情報セキュリティ対策ガイドライン(IPA 独立行政法人 情報処理推進機構)

中小企業の情報セキュリティ対策ガイドラインとは

「中小企業の情報セキュリティ対策ガイドライン」とは、そのタイトルのとおり中小企業が情報セキュリティ対策に取り組む際に理解すべき指針や手順、手法がまとめられたものです。中小企業が持つ重要な情報を、漏えいや改ざん、消失といった脅威から守るための必要な対策を紹介する目的で公開されています。

近年、ペーパーレス化の流れでデータの取り扱いをオンラインで行うなど、業務にITを活用する企業が増える一方で、中小企業を標的としたサイバー攻撃が多発しており、その攻撃手段も多様化しています。また、中小企業は発注元企業に対する標的型攻撃の糸口として狙われる危険性が懸念されており、セキュリティ対策の強化は不可欠です。さらに、新型コロナウイルス感染拡大に伴うテレワークの普及により、企業規模の大小を問わず、情報セキュリティの重要性が増大しました。

IPA (独立行政法人 情報処理推進機構)では、これらの懸念を踏まえ、具体的な対応策を盛り込んだ第3.1版を2023年4月に公開しました。ここからは、この改訂版におけるポイントを解説します。

中小企業の情報セキュリティ対策ガイドライン改訂版(第3.1)版のポイント

テレワークを安全に実施するための対策を追加

全世界的に多様な働き方が推進され、中小企業でもテレワークが普及しはじめている状況を踏まえ、テレワークを安全に実施するための対策が追加されました。まず、第2部5章において「テレワークの情報セキュリティ」の項目を追加し、「テレワークの方針検討」「セキュリティ対策」「運用」の3段階に分けて検討事項を解説しています。

また、セキュリティ対策において何から手をつけてよいかわからない組織のために、まず守るべき5か条を示した「情報セキュリティ5か条」が付録として追加されました。ほかにも、付録6の「クラウドサービス安全利用の手引き」では、クラウドサービスの選択・運用・セキュリティ管理におけるポイントをまとめています。なお、クラウドサービスについては、本編の第2部5章「クラウドサービスの情報セキュリティ」でも検討事項が解説されています。

インシデント対応策や手引きを追加

サイバー攻撃の高度化によるセキュリティインシデントの増加を踏まえ、第2部5章において「セキュリティインシデント対応」も追加されました。ここでは、インシデント発生時の対応について、「検知・初動対応」「報告・公表」「復旧・再発防止」の3段階に分けて解説しています。

情報漏えいや改ざん、消失などのインシデントによる被害を最小限に抑え、早期の復旧を果たすためには、適切なインシデント対応が重要です。情報セキュリティにおけるあらゆるインシデントを想定し備えられるよう、しっかり確認しておくべき項目になっています。

また、非常時にもすぐ対応できるように、付録としてインシデント対応の基本ステップや具体的なインシデントごとの対応手順を掲載した、「セキュリティインシデント対応の手引き」も追加されています。インシデント発生時の相談窓口や報告先、さらにインシデント対応に役立つサイトも掲載されており、発生時だけでなく備えとしても確認しておくことが大切です。

中小企業が情報セキュリティ対策を怠る場合のリスク

中小企業では、従業員の個人情報や顧客・取引先の連絡先、新製品の情報、取引先から預かっている情報など、保有している秘密の情報が少なくありません。サイバー攻撃の手法は巧妙かつ高度化しており、情報セキュリティ対策を怠ることで、さまざまなリスクが発生します。ここでは、対策を怠ることで起こり得るリスクについて、2つの例を解説します。

顧客情報の入ったパソコンの紛失

たとえば、顧客情報の入ったパソコンを紛失してしまった場合、顧客からの信用が失われるばかりか、管理責任を問われ社会的な信用や評価も大きく低下します。その場合、一度失ったその信用を取り戻すのは容易ではなく、インシデントを起こしていない競合他社に顧客が流れかねません。また、社会的信用を失うことで、顧客の喪失だけでなく、受注していた仕事も取り消しになる可能性すらあります。

パソコンの紛失は、セキュリティ意識の低さから起こるインシデントです。パソコンの持ち出しに関するルールがなかったり、セキュリティ教育が行き届いていなかったり、容易に持ち出せる環境であったりすることも要因です。

こうしたインシデントを起こさないためには、PC持ち出しに関するルールの策定や、PCに重要なデータやファイルを保管せずとも業務ができる、セキュリティの高いクラウド型のコンテンツ管理の導入などが有効な対策です。コンテンツ管理サービスには、アクセス権の設定やデータの暗号化といった機能を持つものもあり、情報漏えいの防止が期待できます。

ランサムウェアへの感染

ランサムウェアに感染してしまうことで、企業活動に遅れが発生し営業機会を次々と失う恐れがあります。最悪の場合、事業の停止に追い込まれる事態も考えられます。特にサプライチェーンを構成している中小企業は、発注元である大企業への標的型攻撃の糸口として狙われる可能性も高く、ランサムウェアへの感染はニュースになるほど大きな事態に発展しかねません。

ランサムウェア対策では、社内規程の整備や従業員のリテラシー向上に取り組むことが重要です。個人利用のソフトウェアのインストールを制限したり、メール添付でファイルのやり取りを行わず、ファイル共有基盤で共有したり、ファイルを無害化できる共有ツールを使用したりするなどが求められます。

中小企業の情報セキュリティ対策3原則

中小企業の情報セキュリティ対策ガイドラインには、経営者が認識すべき3原則が示されています。

1. 対策は経営者のリーダーシップで進める
   経営者自らがセキュリティ対策の重要性を認識し、意思決定や対策の実施を主導します。
2. 委託先の対策まで考慮する
   委託している業務がある場合、その委託先のセキュリティ対策も考慮しなければなりません。委託先に提供した情報が漏えいした場合でも、委託元として管理責任が問われるためです。自社と同等か、それ以上のセキュリティ対策を施してもらう必要があります。
3. 関係者とは常にコミュニケーションをとる
   業務上、関係を持つ相手には、自社のセキュリティ対策やインシデント発生時の対策について伝えておくことが重要です。万一インシデントが発生した場合でも、過剰な不安を与えることなく、説明責任を果たしたうえで信頼関係を保つことが可能です。
   
   参照元：中小企業の情報セキュリティ対策ガイドライン

ガイドラインの実践方法

ガイドラインの実践にあたっては、まずできるところから始め、それから組織的な取り組みを開始します。

付録1の情報セキュリティ5か条を実施

まずは、付録1の「情報セキュリティ5か条」を実施します。

1. OSやソフトウェアは常に最新の状態に
   OSやソフトウェアが古い状態だと、セキュリティ問題が解決できず、ウイルス感染する危険性が高まるため、OS、例えばWindows Updateやオフィス製品やAdobe Reader・ブラウザ等のソフトウェア・アップデートを常に実行します。また、ファームウェアを最新版にすることやツールを使って脆弱性のチェックを行うことも重要です。
2. ウイルス対策ソフトの導入
   ID・パスワードの窃取や遠隔操作などを行うウイルスが増加しているため、ウイルス定義ファイルの自動更新や統合型セキュリティソフトの導入、標準搭載のセキュリティ機能の活用を行います。
3. パスワードの強化
   パスワードが解析されたり、ID・パスワードが流出したりすることで、不正ログインされる被害が増えています。ID・パスワードの使いまわしをせず、長く複雑なパスワードを設定することが重要です。また、多段階認証や多要素認証の利用ももはや当たり前の措置となりつつあります。
4. 共有設定を見直す
   無関係な人からのアクセスを回避するため、Webサービスやネットワーク機器などの共有範囲を限定したり、パソコンの共有を制限したりするなどの対策を行います。また、従業員の異動・退職時の設定変更も忘れずに行いましょう。
5. 脅威や攻撃の手口を知る

   サイバー攻撃の手口を知ることは、対策を講じるうえで重要です。IPAをはじめとするセキュリティ専門機関の最新情報や、クラウドサービスなどが提供する注意喚起を確認しましょう。また、テレワークにおいても、管理者と従業員の間でセキュリティに関するコミュニケーションを行うことも大切です。

参照元：情報セキュリティ５か条

付録2の情報セキュリティ基本方針(サンプル）を参考に自社の方針を作成・周知する

付録2の「情報セキュリティ基本方針(サンプル）」は、「経営者の責任」「社内体制の整備」「従業員の取り組み」「法令及び契約上の要求事項の遵守」「違反及び事故への対応」という5つの項目が記載されています。このサンプルを利用し、自社の方針に見合った内容に編集することで、自社の情報セキュリティ基本方針が作成できます。

作成したら、従業員や取引先などの関係者にもれなく周知することが大切です。

付録3の情報セキュリティ自社診断を実施し、現状を把握する

付録3では、自社のセキュリティ状況を把握できる「情報セキュリティ自社診断」が行えます。基本的対策5項目、従業員としての対策13項目、組織としての対策7項目の設問に回答することで、自社におけるセキュリティ上の問題点を把握することが可能です。

採点後は、解答編の対策例や付録4「情報セキュリティハンドブック」を利用して、社内ルールの作成・周知が行えます。自社診断の質問内容や推奨する対策については、次の見出しで解説します。

なお、情報セキュリティ自社診断はオンライン診断も可能です。

5分でできる！自社診断 設問に回答(IPA 独立行政法人 情報処理推進機構）

情報セキュリティ自社診断の例

○6番目の質問：「電子メールの添付ファイルや本文中のURLリンクを介したウイルス感染に気をつけていますか？」
(対策例)

• 不審なメールは添付ファイルを開いたり、URLリンクにアクセスしたりしない
• 不審な電子メールの情報を社内共有する
• 迷惑メール対策機能を有効活用する

○7番目の質問：「電子メールやFAXの宛先の送信ミスを防ぐ取り組みを実施していますか？」
(対策例)

• 宛先の再確認を行う
• 複数の送信先アドレスを受信者に表示しない場合、BCCを使う
• 宛先チェック、送信保留、取り消しなどの機能がある場合は有効活用する

引用元：新５分でできる！情報セキュリティ自社診断

情報セキュリティガイドラインに沿った本格的な取り組みとは

情報セキュリティ5か条の実施や方針の作成・周知、自社診断による現状把握ができたら、本格的な取り組みを開始します。

管理体制を構築する

まず、作成した基本方針を実現するための管理体制を構築します。その際、以下の例のような体制を整備しておくことが重要です。

• 情報セキュリティ責任者
  情報セキュリティ対策の決定の権限を持ち、全責任を負う人物
  事故発生時には、その影響を判断し、対応の意思決定を行う
• 情報セキュリティ部門責任者
  各部門における情報セキュリティ対策の実施の権限と責任を持つ人物
  事故発生の原因を調査し、情報セキュリティ責任者に報告を行う。また、システム管理者と連携し、適切に処理する
• システム管理者
  必要なセキュリティ対策の検討・導入を行う人物
  情報システムに関連する事故が発生すれば、部門責任者と連携して処理にあたる
• 教育責任者
  従業員へのセキュリティ教育を企画・実施する人物
• 点検責任者
  情報セキュリティ対策が適切に行われているかの点検をする人物

誰かひとりに情報セキュリティ対策を任せるのではなく、上記のような管理体制を整えることが重要です。また、付録5の「情報セキュリティ関連規程」を活用し、社内への周知も行いましょう。

DXを推進し、予算を確保する

中小企業でも競争力の維持・強化のためにDXの推進が求められています。一方で、技術革新に伴い、そのリスクも複雑化していることから、対策の検討と予算を確保することも重要です。

情報セキュリティ規程を作成する

対応すべきリスクを特定して、その対策を決定し、規程の作成に移ります。規程の作成にあたっては、付録5「情報セキュリティ関連規程(サンプル)」の利用がおすすめです。この付録では以下の項目が記載されており、自社に応じた内容に書き換えることで作成しやすくなります。

1. 組織的対策：管理体制の構築・点検・情報共有のルール
2. 人的対策：取締役や従業員の責務・教育・人材育成のルール
3. 情報資産管理：情報資産（データやファイル）の管理・持ち出し方法・バックアップ・破棄のルール
4. アクセス制限及び認証：情報資産におけるアクセス制御方針・認証のルール
5. 物理的対策：セキュリティ維持のための領域設定、注意事項のルール
6. IT機器利用：IT機器・ソフトウェアの利用のルール
7. IT基盤運用管理：サーバーやネットワークなどのインフラのルール
8. システム開発及び保守：開発・保守を行う情報システムのルール
9. 委託管理：業務委託にあたっての選定・契約・評価のルール
10. 情報セキュリティインシデント対応及び事業継続管理：情報セキュリティの事故対応・事業継続管理のルール
11. テレワークにおける対策：テレワークにおけるセキュリティ対策のルール

参照元：中小企業の情報セキュリティ対策ガイドライン第３.1版

サンプルに記載されていない内容でも、必要であれば明記することが大切です。自社にあわせて柔軟に変更し、作成しましょう。

詳細リスク分析を行う

想定外のリスクの見落としや、対策の不足などが考えられることから、詳細リスク分析を実施することが大切です。詳細リスク分析の手順は、以下の通りです。

• 手順1：情報資産の洗い出し
  どのような情報資産があるのかを洗い出し、機密性・完全性・可用性に分けて重要度の判断を行います。
• 手順2：リスク値の算定
  優先的・重点的に対策を必要とする情報資産の把握です。リスク値は、手順1で算出した重要度に被害発生可能性をかけて導き出します。被害発生可能性は、脅威や脆弱性から判断されます。
• 手順3：情報セキュリティ対策の決定
  手順2で導き出されたリスクの大きな情報資産に対し、必要な対策を決定します。ここでいう対策とは、リスクの低減や回避、受容できる範囲のリスクの保有、他社サービス利用によるリスクの移転を指します。

まとめ

中小企業の情報セキュリティ対策ガイドラインは、DX推進やハイブリッドワークやテレワークの普及によって中小企業でもセキュリティ対策の重要性が増したことから、改訂版が公開されています。セキュリティ対策を怠ることで、顧客からの信用だけでなく、社会的信用をも失う可能性が高まります。日々高度化するサイバー攻撃から自社の情報資産を守るためにも、ガイドラインを活用し、情報セキュリティ対策の向上に努めましょう。