皆さん、こんにちは。南波真之(なんばさねゆき)と申します。
前回の記事では、世界的に景気後退と人員整理が行われている背景の中、戦略的に優位になっているサイバーセキュリティ人材について取り上げてきました。
サイバーセキュリティ人材は今後いっそう求められていきます。企業としてもどのようにサイバーセキュリティ人材を確保していくのかが経営上の重要ポイントの1つになってきています。ご興味のある方はぜひご覧ください。
今回は、IPA(独立行政法人 情報処理推進機構)が改訂した「中小企業の情報セキュリティ対策ガイドライン 第3.1版」から、中小企業で対応すべき対策のガイドラインを見ていきます。
中小企業の情報セキュリティガイドラインとは
2023年4月26日にIPAは、中小企業向けとして情報セキュリティ対策ガイドラインの改訂版、「中小企業の情報セキュリティ対策ガイドライン 第3.1版」を公開しました。
このガイドラインは、中小企業や個人事業主の利用を目的に、情報セキュリティ対策に取り組む際の以下をまとめたものです。
- 経営者が認識し実施すべき方針
- 社内において対策を実践する際の手順や手法
改訂前の第3版は2019年3月に公開されましたが、その後新型コロナウイルスの影響やサイバー攻撃の増加と規模拡大によって状況が大きく変わってきました。そこで今回改定が行われた形になります。特に、2019年から今までで中小企業のサイバーセキュリティリスクは大きく高まりました。従来は大企業へのサイバー攻撃が目立っていたところから、中小企業のIT利活用が進み、サプライチェーンで考えたときの発注元の大企業への攻撃の足がかりに使われることもあるため、金銭的な問題だけでなく中小企業の信用問題としても見過ごせない状況です。
ガイドラインの内容として、大きく2つのセクションと付録に分かれています。
1つ目のセクションが、「経営者編」です。これは経営者が知っておくべきセキュリティに関する知識と今後何をすべきの道標が載っています。従業員の数に関わらず企業の経営者、経営者層、個人事業主はしっかり理解しておくことが必要です。
情報セキュリティ対策をしないことで被る不利益について、経営者自身が負う責任について、経営者として認識すべき「3原則」と実行すべき「重要7項目の取組」という構成です。
2つ目のセクションが、「実践編」です。ここでは、現在の自社の状況を踏まえてどこから対策をしていくべきかをステップに分けて紹介しています。
まずできるところを実施した上で、現状理解から組織的な改善を行っていく、そしてその改善のサイクルを回していくという流れです。診断項目や具体的に何をしていくのかが書かれていますので、まずはこのガイドラインに沿って動いていくと良いです。
情報セキュリティ対策というと、範囲が広くて何から実施したらいいのかが分からない、という人や企業も多くいるのではないでしょうか。そういった状況で、IPAが今の状況に即して公開しているこのガイドラインというのは中小企業、個人事業主向けとして、日本全体のセキュリティ認識や対策向上に大きく寄与すると思います。
情報セキュリティ対策ガイドラインから、具体的な対策を始めましょう
今回は、IPAが公開した情報セキュリティ対策ガイドラインから、中小企業や個人事業主向けのセキュリティ対策について書いてきました。
まずは自社がどの位置にいるのか、どこまでの対策はできているのかをしっかり把握して徐々に対策を進めていきましょう。
とはいえ、情報セキュリティに詳しい人材はどの企業にも豊富にいるわけではないですし、やるべきことは企業としてたくさんあります。
対策としては、ウイルス対策、セキュリティ対策と言っても、アンチウイルス、アンチスパム、デバイス保護、不正アクセス防止、ファイアーウォールなど様々ありますが、何をしたら良いのか困ってしまっているという方も多い印象です。であれば、Dr. Webの企業向けセキュリティソリューションを利用するのが対策の1つです。
Dr. Webでは、サイバーセキュリティに関するソリューション、サービスを企業様の規模や課題に応じて、お客様のコンピュータ資産を守るということを優先して提供しています。
ランサムウェアやエンドポイントセキュリティの対策、また、アンチウイルスソフトでの対策を考えている企業、団体の皆様で、まずはお話を聞いてみたい、詳しく知りたい、という場合は、以下を御覧ください。
テレワーク向けクラウド型アンチウイルスサービスを無償提供もしています。
https://drweb-antivirus.jp/avd_free_3month/