ITプラットフォームへ移動
特集

中小企業にとって最低限必要なセキュリティの取組み〜IT導入補助金の申請にも必要なセキュリティアクションとは?

  • 2022年6月30日
  • 中小機構 中小企業支援アドバイザー 村上知也
  • セキュリティ
  • セキュリティアクション
IPAセキュリティアクションの画像

独立行政法人情報処理推進機構(IPA)が提供しているセキュリティアクションについて紹介します。
IT導入補助金を申請する際に自己宣言する必要があるセキュリティアクションですが、中小企業にとってはセキュリティ対策の一歩としても非常に重要なものです。
今回は、その内容を紹介します。

なお、画像はIPAのセキュリティアクションページより引用しています。

セキュリティアクションとは

「SECURITY ACTION」は中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度です。安全・安心なIT社会を実現するために創設されました。

詳しい内容は、セキュリティアクションのページでご確認ください。https://www.ipa.go.jp/security/security-action/index.html

セキュリティアクションの進め方

(1)取組み目標を決める

取組み目標に応じて「★一つ星」と「★★二つ星」があります。

「★一つ星」ロゴマークを使用するには、中小企業の情報セキュリティ対策ガイドライン付録の「情報セキュリティ5か条」に取組んでください。
すでに同等の取組みができている事業者は二つ星から始めることができます。

「★★二つ星」ロゴマークを使用するには、中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる!情報セキュリティ自社診断」で自社の状況を把握した上で、情報セキュリティ基本方針を定め、外部に公開することが求められます。

(2)自己宣言する

(1)が終わったら、SECURITY ACTION ロゴマークをポスター、パンフレット、名刺、封筒、会社案内、ウェブサイト等に表示して、自らの取組みをアピールすることができます。また、情報セキュリティへの取組みを宣言している中小企業等としてSECURITY ACTIONのウェブサイトに掲載されます。

(3)ステップアップする

「★一つ星」から始めた中小企業等は、情報セキュリティをさらに向上させるために「★★二つ星」にステップアップしましょう。

「★★二つ星」から始めた中小企業等は、情報セキュリティをさらに有効にするために情報セキュリティ規程の策定および、規程の継続的な見直しによる新たな脅威等への対応を実施します。

★一つ星とは

以下の「情報セキュリティ5か条」に取組むことを宣言します。もちろん宣言するからには実際に取り組む必要があります。

<情報セキュリティ5か条>
(1)OSやソフトウェアは常に最新の状態にしよう!
社内のパソコンやテレワークの場合は仕事で使うなら社員の自宅のパソコンもソフトウェアを最新の状態にすることが求められます。例えば月1回更新日を決めて、業務終了前に全員が更新できるよう時間を確保してみましょう。

(2)ウイルス対策ソフトを導入しよう!
ウィルス対策ソフトはインストール済みになっていることが多いと思います。ただしウィルス定義ファイルが自動更新されていなかったり、ウィルス対策機能がOFFにされているケースもあります。これも月に1回など、確認するタイミングをとってみましょう。

(3)パスワードを強化しよう!
短いパスワードを使ったり、使い回していると、いずれパスワードが漏洩するリスクがあります。社名や電話番号などで類推されないもので、長いパスワードにしておきましょう。一番気をつけて欲しいのは、Webサービスなどで同じパスワードを使い回さないことです。使い回している場合、どこか1箇所で漏洩してしまった際に、すべてのサービスでパスワードの変更対応を行う必要が生じてしまいます。

(4)共有設定を見直そう!
ファイルサーバなどの共有設定が適切になっているのか、定期的に見直しましょう。すでに退職された社員のアカウントが残っていたりすると危険です。

(5)脅威や攻撃の手口を知ろう!
以前の記事で2022年のセキュリティ10大脅威を取り上げています。セキュリティの脅威や攻撃は常に新しいものが生まれてきますので、どういった手口が多いのか把握しておきましょう。

★★二つ星とは

二つ星では、中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる!情報セキュリティ自社診断」で自社の状況を把握した上で、情報セキュリティ基本方針を定め、外部に公開したことを宣言するものです。

自己診断では25問の質問に回答して点数をつけていきます。以下のような質問に順に回答ください。

点数毎に実施すべき対策が提示されます。基本的な対策、従業員としての対策、組織としての対策がありますので、それぞれ対応しましょう。

そして、自社の情報セキュリティ基本方針を立案して外部に公開しましょう。情報セキュリティ基本方針のサンプルがIPAのサイト内に公開されているので、参考にしましょう。

<情報セキュリティ基本方針のサンプル抜粋>

 
  (出典)中小企業のセキュリティ対策ガイドライン第3版付録2:情報セキュリティ基本方針(サンプル)より

まとめ

セキュリティ対策はどこまで対応すべきか悩ましいところです。セキュリティの監視サービスを導入したり、セキュリティ機器を導入する事業者も増加しています。

こういったツールも大事ですが、やはりいちばん大事なのは組織と人のセキュリティへの意識です。今回紹介したセキュリティアクションを宣言することで、社内のセキュリティ意識を高めることができるでしょう。コストを掛けたツールを導入する前に、この取組みからスタートしてみてはいかがでしょうか。

関連おすすめ