中小企業のセキュリティ担当者の初めの一歩

新たに中小企業のセキュリティ担当者に任命された新米セキュリティ担当者の方へ。

セキュリティ担当者の役割は企業の情報資産を保護し、ビジネスの持続可能性と成長をサポートすることかと思いますが、いきなり言われても、今日から何をすべきか右も左もわからない状況かと思います。そんな皆さんの参考になる情報をお届けしたいと思います。情報セキュリティの世界は日々進化しており、企業の情報を守るためには初めの一歩が重要です。以下にそのステップを解説します。

ネットワーク構成、使用しているソフトウェア、情報資産の種類と保管場所、既存のセキュリティ対策等を詳細に把握することが始まりです。また、情報セキュリティは資産を管理できているだけでなく、日々の業務の中でセキュリティを意識した運用ができているか？が重要です。とは言え、運用レベルがどこまで達していればOKなのかを判断するのも難しいですよね？

そんな皆さんのお役に立つ情報として、IPA（情報処理機構）のサイト内にある「5分でできる情報セキュリティ自社診断」をお勧めします。「5分でできる情報セキュリティ自社診断」はIPAが公開している無料のツールであり、情報セキュリティ対策のレベルを数値化し、問題点を見つけることができます。資料はエクセル形式になっています。ダウンロードして25の診断項目について自社での情報セキュリティ対策の取り組み状況に照らして当てはまるものを全てプルダウンで選択して回答しましょう。回答結果は100点満点で表示されます。業種平均との比較もできますし、獲得点数ごとに、次のステップとして何をすべきかを明示してくれます。

とても危険な状態だと理解したほうが良いと思います。次のステップとしては、解説を読んで対策を実施する必要があります。

評価が悪かった項目についての対策が必要になります。情報セキュリティの運用は従業員全員で遵守すべきものですので、ルール作りを行う必要があります。IPAのサイト内には、自社のルールをまとめたハンドブックを作成するためのひな型も公開されておりますので、まずはルール策定から取り掛かりましょう。

ほぼ対策ができていると考えられます。ここから先は、「中小企業の情報セキュリティ対策ガイドライン」に則って対策強化に取り組みましょう。

「中小企業の情報セキュリティ対策ガイドライン」の詳しい内容については、別記事にて公開しますが、具体的な対策を講じるためのガイドラインがたくさん掲載されております。

2015年12月の初版発行から、更新を繰り返しており、2024年12月現在の最新版は、2023年4月に公開された3.1版になっています。第3.1版では、中小企業においても急速に導入が進むテレワークのセキュリティ対策についての項目が追加されております。また、巧妙化するサイバー攻撃などにより、被害が拡大していることから、セキュリティインシデント発生時の対応を追加し、いざというときの手引きを付録にまとめられておりとても実践的です。

「情報セキュリティ自社診断」で点数が取れた後の、次のステップとしては最適なガイドラインだと考えます。