このページでは、前回の経営者がやるべきことに引き続き、中小企業が実施すべきセキュリティ対策における重要な取り組み事項を解説いたします。
このシリーズは、IPAの「中小企業の情報セキュリティ対策ガイドライン」に基づき、中小企業が実施すべきセキュリティ対策について、順番に解説しています。
(目次)
実行すべき重要7項目の取り組み
情報セキュリティ対策を進めるにあたって、最初に取り組む事柄は大きくわけて、7つあります。ウィルス対策をするとか情報漏洩対策をするとかの具体的なセキュリティ対策をする前の事前準備のようなイメージです。
このページでは概要を説明しますが、各取り組みはそれぞれが重要な取り組みです。
取り組み番号ごとに作成する資料もありますので、詳細は個別のページで解説します。
取組1)組織全体のセキュリティ対応方針を定める
まずは、会社として情報セキュリティ対策に取り組む意思を従業員や関係者に示すために「情報セキュリティ対応方針」を定める必要があります。
経営者の責任や社内体制、従業員の取り組み事項、自社経営において最も懸念されることを明確にすることで、具体的な対策や組織方針をたてやすくなります。
取組2)セキュリティ対策の予算・人員を確保する
情報セキュリティ対策を実施するための予算と担当者を確保します。
セキュリティ対策を実施するうえで必要な運用、設備(ソフト、ハード)、専門的な外部サービス、緊急対応体制等々を考え、予算や人員を確保します。
取組3)必要な対策を検討する
自社にとって、必要なセキュリティ対策はなんなのかを検討します。
現在の状態、損害を受ける可能性、損害が発生した場合の重要度などを考慮し、必要な対策内容を洗い出します。
また、対策内容は多岐にわたり、対策しきれない可能性もありますので、それぞれに優先度を設定し、どこから取り組むのかも併せて検討を行います。
取組4)対策内容を定期的に見直す
セキュリティ対策は、「一度やれば終わり。」というものではありません。
時間が経過すれば、気持ちも緩んでいきますので、そこが穴になって、侵入されるケースも多々あります。
取組3)で対策した内容が実施されているか定期的に点検するなどセキュリティ実施状況を定期的に評価し、必要に応じて、見直しを行います。
取組5)セキュリティ対応体制と役割を明確化する
セキュリティ対策を行うための体制と役割を明確化します。
また、万が一に備えて、緊急時の対応体制や復旧手順を整備します。整備後も緊急時に予定通り機能するかどうか模擬訓練を行い緊急時に備えた準備を行います。
取組6)委託/外部サービス利用時の責任範囲を明確にする
業務の一部を外部に委託する場合、自社と同等のセキュリティ対策が行われるようにしなければなりません。そのための契約書整備を行います。
また、最近では、社内システムを廃止し、外部のクラウドサービス等を利用するケースもあります。外部サービスで障害が発生した場合の責任範囲や復旧目途なども明確にする必要があります。
取組7)セキュリティに関する最新動向を収集する
技術の進化が速く、セキュリティ対策の内容も日々更新していく必要があります。
ただ、社内人員だけで、技術の進化に追いつくのは、かなり難しいので、セキュリティに関する最新動向をキャッチアップする情報源を持っておく必要があります。
セキュリティに関するワーキングやコミュニティを確保し、最新のセキュリティ動向を把握しましょう。
各取り組みの詳細
各取り組みは、それぞれが重要な取り組みです。取り組み番号ごとに作成する資料もありますので、それぞれ個別に解説していきます。
| 取り組み番号 | 取組内容 |
| 1 | 組織全体のセキュリティ対応方針を定める |
| 2 | セキュリティ対策の予算・人材を確保する |
| 3 | 必要な対策を検討する |
| 4 | 対策内容を定期的に見直す |
| 5 | セキュリティ対応体制・役割を整備する |
| 6 | 委託/外部サービス利用時の責任範囲を明確にする |
| 7 | セキュリティに関する最新動向を収集する |
