中小企業はどこまでセキュリティ対策を実施すべきか?〜IPAから中小企業の情報セキュリティ対策ガイドラインが発表されました。
- 2023年6月9日
- 中小機構 中小企業アドバイザー(経営支援) 村上知也
- セキュリティ
- IT導入補助金
独立行政法人情報処理推進機構(IPA)より「中小企業の情報セキュリティ対策ガイドライン」が発表されました。どのレベルまでセキュリティ対策を実施すべきかは、中小企業各社の状況によって異なってきます。
まずは、自社の状況を把握した上で、このガイドラインを読んで、最低限のセキュリティ対策に取り組んでみませんか?
なお、一部の補助金ではセキュリティ対策(SECURITY ACTION自己宣言)に取り組んでいないと申請できない要件もあります。
中小企業はどこまでセキュリティ対策に取り組めばいいのか?
「セキュリティ対策をしなければならない」と思いつつ、具体的にどこまで行えば良いのかが分からず、不安を感じている中小企業は多いと思います。
先日、小規模企業の経営者から会計ソフトの導入に関する相談を受けました。その際、「会計ソフトを使うのであれば、ネットバンクも活用して仕訳作業を効率化しましょう」と提案しました。しかし、経営者から「ネットバンクの利用が怖い」との返答がありました。
その気持ちは理解できます。ネットバンクを利用することでハッキングによりお金が盗まれるリスクは否定できません。一方で、ATMでお金を引き出した帰りに強盗に遭うリスクも存在します。
リスクと便利さを天秤にかけ、ネットバンクを使わないという意思決定をするのは決して悪いことではありません。ただ、デジタル化が進んでいる現在、わざわざ時間をかけて銀行に出向く経営者の行為はもったいないと感じてしまいます。
そして、おそらくリスクを正確に把握した上で使わないという判断をしているのではなく、漠然としたインターネットセキュリティの不安から利用を避けているのではないでしょうか。
そのため、最低限のセキュリティ知識と必要な対策を理解し、それを行うことは経営者の責任と言えるでしょう。
4月26日にIPAから発表された「中小企業の情報セキュリティ対策ガイドライン」は、経営者の皆さんにぜひ一度読んでいただきたいと思います。本記事ではその概要を紹介します。
なお、以降の図表は、中小企業の情報セキュリティ対策ガイドラインに掲載されている情報を元に、著者が作成しています。
経営者は何をやらなければならないのか?
まず経営者が認識すべき3原則が挙げられています。1番目の原則に全て詰まっているとも言えるでしょう。企業の「情報セキュリティ対策は経営者のリーダーシップが必須」ということです。
「パソコンのことはよくわからないから、担当者に任せている」といった発言はガイドラインに則していない、ということになります。もちろん、経営者が情報セキュリティの隅々まで把握するのは難しい面もありますが、リーダーシップを発揮しなければなりません。
また、自社の中だけではなく、外部委託先の情報漏えいも自社の責任になりますから、自社同様に十分な注意を払うことが求められます。
その上で、実際に経営者は何を実行すべきでしょうか?実行すべき重要7項目が挙げられています。
確かにこの7項目が実行できていれば良いと思いますが、具体的に何をすることかと言われると少し把握しづらいかもしれません。
そこで、次に具体的な実行STEPが挙げられています。それぞれのSTEPを見ていきましょう。
ガイドラインの実行Step
ガイドラインの実行Stepとして4段階が提示されていますが、まずはStep1をクリアしましょう。もちろん、可能ならStep2、3、4も実行したいのですが、本記事では、最低限実施したいセキュリティ事項としてStep1のみを解説します。
Step1 まず始めましょう
多くの中小企業にとっては、いきなり精巧なセキュリティ対策を実施するのは大変ですので、最低限として、以下の「情報セキュリティ5か条」を実践しましょう。
① OSやソフトウェアは常に最新の状態にしよう!
WindowsなどのOSのアップデートを実施しているでしょうか?私自身は、アップデートが出るたびにアップデートしています。ただ、アップデートすると不具合が出る可能性もあるので、すべてのアップデートに対応する必要はありません。しかし、最低限アップデートのスケジュールは決めておきたいところです。
さらにソフトウェアはOSだけではありません。例えば、Web会議システムのZoomをアップデートしているでしょうか?オフィスソフトをアップデートしているでしょうか?ホームページの作成ソフト、例えばWordpressをアップデートしているでしょうか?
これらのソフトウェアも個人であれば気づいたときにアップデートをすればよいのでしょうが、組織内で複数の端末を使用しているのであれば、スケジュールを組んで対応していきましょう。
② ウイルス対策ソフトを導入しよう!
ウイルス対策ソフトについては、以前に比べて状況が変わってきました。OS標準のセキュリティ対策ソフトで十分になってきています。もちろん、特定の項目においては専門のウイルス対策ソフトが必要となるケースもありますが、最低限としては、OS標準のセキュリティ機能をONにしているか確認しておきましょう。
WindowsであればWindows Defenderの機能をONにしているか確認してみてください。
③ パスワードを強化しよう!
パスワードが推測・解析されたり、ウェブサービスから流出したID・パスワードが悪用されたりすることで、不正にログインされる被害が増えています。パスワードは「長く」「複雑に」「使い回さない」ようにして強化しましょう。
1番危険なのは、すでに流出してしまっているパスワードを使い続けることです。例えばGoogle Chromeのパスワードマネージャーを確認すると、すでに自分のパスワードがインターネット上で漏洩している場合は警告を表示してくれます。
④ 共有設定を見直そう!
データ保管などのウェブサービスやネットワーク接続した複合機の設定を間違ったために、無関係な人に情報を覗き見られるトラブルが増えています。無関係な人が、ウェブサービスや機器を使うことができるような設定になっていないことを確認しましょう。
⑤ 脅威や攻撃の手口を知ろう!
毎年発表される「情報セキュリティ10大脅威」に目を通しておきましょう。脅威や攻撃の手口を知って対策をとりましょう。
IT導入補助金を申請する際の要件になっています。
IT導入補助金2023年公募要領の申請要件として以下の項目が挙がっています。
独立行政法人情報処理推進機構(IPA)が実施する「SECURITY ACTION」の「★ 一つ星」又は「★★ 二つ星」いずれかの宣言を行うこと。
最低限、今回紹介した、情報セキュリティの5か条に取り組んでいないと、IT導入補助金を申請することもできません。
もちろん、補助金のためにセキュリティ対策を実施するというわけではありませんが、必ずやっておきたい内容と言えるでしょう。
まとめ
本ガイドラインは、中小企業の皆様に情報を安全に管理することの重要性について認識いただき、中小企業にとって重要な情報を漏えい、改ざん、消失などの脅威から保護するための情報セキュリティ対策の考え方や、段階的に実現するための方策を紹介することを目的としたものです。
全部で72ページもありますが、経営者の方々向けの経営者編は10ページ余りですので、その部分だけでも一読いただければ幸いです。
