中小企業のセキュリティ対策は、まず5項目の実行から

セキュリティ対策の重要性を感じつつも、人手や予算の不足で具体的な施策を講じることができない中小企業は少なくありません。独立行政法人 情報処理推進機構(IPA)は、そうした中小企業向けに、スピーディかつローコストで実行できる「SECURITY ACTION」を策定しました。


中小企業が持つ情報も、悪意ある攻撃者にとっては宝の山

▲セキュリティセンター企画部 中小企業支援グループ グループリーダー 横山 尚人氏▲セキュリティセンター企画部 中小企業支援グループ グループリーダー
横山 尚人氏

—SECURITY ACTIONの概要と目的について教えてください。

横山 インターネットに接続している以上、セキュリティ対策の重要性は、大企業でも中小企業でも、変わりはありません。しかし、予算に余裕があり、また情報システム部門など専任の部署を設置できる大企業に比べ、予算や人的リソースにゆとりのない中小企業の多くは、そうした対策が十分とは言えない状況にあります。また「うちにはそれほど重要な情報はないから、サイバー攻撃される理由がない」「セキュリティ向上はコストがかかるばかりで、利益に結びつかない」といった考え方も根強く残っています。しかし、取引先情報や従業員情報だけでも、攻撃者にとっては“美味しい情報”ですし、情報流出事故は企業の存亡そのものに関わる可能性もあり、費用対効果だけの問題ではありません。そこで中小企業自らが情報セキュリティ対策に取り組んでいただくきっかけとして、すぐにできるセキュリティ対策として策定したのが、二段階の取り組みからなる「SECURITY ACTION」なのです。

まず“5か条”の実行で、悪意ある攻撃を防御

—その具体的な内容は、どのようなものなのでしょうか。

横山 私どもは2016年11月に『中小企業の情報セキュリティ対策ガイドライン』(図内①)という冊子を作り、これまで数度の改訂を行いつつ、配布しております(https://www.ipa.go.jp/security/keihatsu/sme/guideline/)。この冊子の内容から、2017年10月、まず第一段階として、分かりやすく、すぐにできるものをピックアップした5項目が、『情報セキュリティ5か条』(図内②)です(https://www.ipa.go.jp/files/000055516.pdf)。この5項目は、社内のパソコンやネットワークを安全に運用する上で不可欠なものばかりで、これらの確実な実行は、コンピューターウイルス感染や不正ログインなどへの基本的な対策として、とても有効です(図参照)。

▲IPAが提供している「情報セキュリティ対策」の情報ツール
▲IPAが提供している「情報セキュリティ対策」の情報ツール

—第二段階は、どのようなものになりますか。

横山 自社のセキュリティ対策の現状をセルフチェックできる『新5分でできる! 情報セキュリティ自社診断』(〈パンフレット(図内③)〉https://www.ipa.go.jp/files/000055848.pdf〈自社診断シート(図内④)〉https://www.ipa.go.jp/files/000055517.pdf)です。きちんとしたセキュリティ対策に取り組みたいと思っていても、まず何から手をつけていいのか分からないという中小企業の方は少なくありません。この『情報セキュリティ自社診断』は、『Part1 基本的対策』『Part2 従業員としての対策』『Part3 組織としての対策』という流れで合計25問を用意し、質問項目に目を通していただくことだけでもセキュリティ対策に何が必要かをお分かりいただけるよう、工夫しています。さらに各質問に「実施している」「一部実施している」「実施していない」「分からない」という4択でお答えいただき、合計した点数に応じ、どのような対策を講じるべきかについてもご案内しています。

ロゴマークによる周知で、取り組み姿勢を顧客にアピール

—SECURITY ACTIONのロゴマーク制度も用意されています。その概要、メリットを教えてください。

横山 第一段階への取り組みを宣言することで、『SECURITY ACTION★(一つ星)』のロゴマークが、第二段階の自社診断を実施し、かつ『情報セキュリティポリシー(基本方針)』を定め、公開することを宣言することで『SECURITY ACTION★★(二つ星)』のロゴマークが使用できます。このロゴマークを自社のウェブサイトに掲出したり、名刺、会社案内などに印刷し、自社のセキュリティへの取り組み姿勢をアピールすることで、既存顧客とのさらなる関係性強化や新規顧客獲得のきっかけになります。またSECURITY ACTIONの実施を要件とする補助金などの利用が可能になる場合もあります。「★★」に必要な情報セキュリティポリシーのサンプル(ひな形)は、当機構ウェブサイトの『中小企業の情報セキュリティ対策ガイドライン(https://www.ipa.go.jp/security/keihatsu/sme/guideline/)』からもダウンロードできますので、ぜひご活用いただきたいと思います。ロゴの使用申請について、詳しくはSECURITY ACTIONのウェブサイト(https://www.ipa.go.jp/security/securityaction/sa/)でご確認ください。

SECURITY ACTION宣言が、「IT導入補助金」の必須条件に

生産性向上を目的に、ソフトウェアやサービスなど(ITツール)を導入する中小企業・小規模事業者向けに経費の一部を補助する「IT導入補助金(平成29年度補正サービス等生産性向上IT導入支援事業)」は、現在、対象事業者を公募しております(一次公募終了、二次公募8月3日(金)まで、三次公募10月上旬まで〈予定〉)。この事業はITツールの導入に対し、1/2の補助(上限額50万円、下限額15万円)をし、支援を行うというものです。申請にあたっては、中小企業・小規模事業者などであること、日本国内の個人または法人であることなどのほか、SECURITY ACTION「★」「★★」のいずれかの宣言を行うことが条件として定められています。詳しくは公式サイト(https://www.it-hojo.jp/)をご覧ください。


独立行政法人 情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)

日本の情報セキュリティ対策を担う独立行政法人。内外の関係機関とも連携し、サイバー攻撃情報の収集、分析、対策立案に取り組むほか、次世代を担うIT人材の育成にも尽力している。
https://www.ipa.go.jp/

↑
PAGE TOP