「中小企業の情報セキュリティ対策ガイドライン」第4.0版がIPAから公開されました
セキュリティ対策ガイドライン 第4.0版画公開されました。内容を確認してきます。
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/sme_guideline_v4.0.pdf
本ガイドライン(第4.0版)は、中小企業および小規模事業者が、情報漏えいや改ざん、消失といった脅威から重要情報を保護し、事業継続を確実にするための具体的な指針を提示するものである。
現代のビジネス環境において、情報セキュリティ対策は単なるIT担当者の業務ではなく、経営の根幹に関わる重要な課題である。ランサムウェアによる事業停止やサプライチェーンを介した被害が深刻化する中、経営者自らがリーダーシップを発揮し、組織全体で段階的に対策を強化していくことが求められている。
本資料は、経営者が認識すべき責任と原則、および現場で実践すべき4段階のステップ(STEP1〜STEP4)について、その核心をまとめたものである。
第1部:経営者が認識すべき責任と役割
情報セキュリティ対策の不備は、企業の存続を揺るがす重大な不利益をもたらす。経営者は、対策を「コスト」ではなく「信頼への投資」と捉える必要がある。
対策を怠ることで被る4つの不利益
情報セキュリティ事故が発生した場合、企業は以下のような深刻な影響を受ける。
- 金銭の損失: 損害賠償請求、不正送金、システム復旧費用の発生(事例ではランサムウェア感染により約2.5億円以上の損失が発生したケースもある)。
- 顧客の喪失: 社会的評価の低下、取引停止、受注の機会損失。
- 事業の停止: システムダウンによる生産・営業活動の中断。
- 従業員への影響: 内部不正の誘発、士気の低下、人材の流出。
経営者の法的・社会的責任
経営層(取締役・監査役)は、会社法上の「善管注意義務」を負っており、セキュリティ対策を怠った結果として損害が生じた場合、任務懈怠に基づく損害賠償責任を問われる可能性がある。また、個人情報保護法やマイナンバー法、不正競争防止法(営業秘密保護)などの法令遵守も義務付けられている。
情報セキュリティ対策の「3原則」
経営者が主導すべき基本方針として、以下の3点が定義されている。
- リーダーシップの提示: 経営者が自ら判断し、意思決定を行う(情報セキュリティガバナンスの構築)。
- 委託先への配慮: 委託先やビジネスパートナーの対策状況にも注意を払い、管理責任を果たす。
- 関係者とのコミュニケーション: 顧客や株主に対し、自社の対策方針や事故時の対応について明確に説明する。
実行すべき「重要7項目の取組」
経営者は責任者・担当者に対し、以下の項目を指示・実行しなければならない。
| 項目 | 内容 |
|---|---|
| 取組1 | 情報セキュリティに関する基本方針を定める。 |
| 取組2 | 対策のための予算や人材(内部育成・外部サービス活用)を確保する。 |
| 取組3 | リスクを把握し、必要な対策を検討・実行させる。 |
| 取組4 | 実施状況を点検し、適宜見直しを指示する。 |
| 取組5 | 緊急時の対応体制(復旧手順や模擬訓練)を整備する。 |
| 取組6 | 委託や外部サービス利用時のセキュリティ責任を明確にする。 |
| 取組7 | 公的機関等から最新動向を収集し、対策をアップデートする。 |
第2部:実践的な対策の進め方(ステップアップ方式)
自社のIT活用レベルやリソースに合わせ、段階的に対策を強化する。
STEP 1:できるところから始める(情報セキュリティ5か条の実行)
すべての企業が最低限実施すべき基本対策である。
- OSやソフトウェアの更新: 常に最新の状態を維持する。
- ウイルス対策ソフトの導入: 定義ファイルを常に最新にする。
- パスワードの強化: 長く、複雑に、使い回さない。
- 共有設定の見直し: 必要な人だけにアクセスを限定する。
- バックアップの取得: 故障や感染に備え、定期的に実施する。
- 脅威の把握: 巧妙な攻撃手口を知り、注意を払う。
STEP 2:組織的な取り組みを開始する
自社の弱みを把握し、組織としての方針を確立する段階。
- 情報セキュリティ自社診断: 「5分でできる!情報セキュリティ自社診断(25項目)」を活用し、現状を可視化する。
- 基本方針の策定と周知: 経営者が定めた方針を簡潔な文書にし、全従業員に伝える。
- 「SECURITY ACTION」の宣言: 自社が対策に取り組んでいることを公的に自己宣言(一つ星・二つ星)し、信頼性を高める。
STEP 3:本格的に取り組む
体制を整備し、規程(社内ルール)に基づいて運用する段階。
- 体制整備: 責任者(CISO等)や担当部署を決定し、緊急連絡網を整備する。
- 資産管理: ハードウェア、ソフトウェア、ネットワーク構成を正確に把握(資産管理台帳の作成)。
- 脆弱性管理: JVN等のポータルサイトを活用し、セキュリティパッチの適用を徹底する。
- アクセス制御: IDの発行・削除プロセスを定め、必要最小限の権限を割り当てる。
- データセキュリティ: データの機密区分(極秘、社外秘、公開等)を定め、暗号化や適切な保管場所を指定する。
STEP 4:より強固にするための方策
リスク分析に基づき、高度で包括的な対策を実施する段階。
- 資産ベースのリスク分析: 重要資産ごとに脅威を特定し、リスクの大きさに応じて対策の優先順位を決める。
- 技術インフラの境界防護: ファイアウォール導入やネットワークのセグメント分離。
- 最新動向への対応: テレワーク、クラウドサービス、ウェブサイトの安全性確保など、変化する環境に合わせた防御。
補足:重要テーマと支援ツール
サプライチェーン全体の強化
近年、取引先を介したサイバー攻撃が増加している。取引先からのセキュリティ対策要請に応えるためには、必要な費用負担について価格交渉を積極的に行い、企業間でパートナーシップを構築することが重要である。
IoT機器のセキュリティ(JC-STAR)
インターネットに接続されるIoT製品(監視カメラやセンサー等)については、セキュリティ適合評価制度「JC-STAR」のラベルが付与された製品を選択することが推奨される。
付録・ツールの活用
ガイドラインには、実践を支援するための以下のサンプルが用意されている。
- 付録2:情報セキュリティ基本方針(サンプル)
- 付録3:5分でできる!情報セキュリティ自社診断
- 付録4:情報セキュリティハンドブック(ひな形)
- 付録5:情報セキュリティ関連規程(サンプル)
- 付録6:資産管理台帳(サンプル)
- 付録8:セキュリティインシデント対応の手引き
そんなところで
