先日情報処理推進機構(IPA)が中小企業の情報セキュリティ対策ガイドラインを見直した第2版を発表しました。
2009年に初版が制定されてから7年が経過し、ITの利活用がより経営に影響をおよぼすようになり情報セキュリティの重要度が高まってきたことから見直されたものです。
従来のガイドラインからの変更点としては大きく以下の3点になります。
- 新たな脅威を踏まえた内容の更新
- 経営者視点での情報セキュリティの必要性
- 管理者が組織的な対策を行う具体策
詳しくはガイドラインを読んで頂ければと思いますが、なにぶんボリュームも大きいし、読むのが大変という方は、まずは付録についている「5分でできる!情報セキュリティ自社診断シート」を活用して、自社のセキュリティレベルを把握してみましょう。
広告
目次
5分でできる!情報セキュリティ自社診断シートとは?
25の設問に応えるだけで、自社のセキュリティレベルを把握できるものとなっています。各質問ごとに、
- 実施している 4点
- 一部実施している 2点
- 実施していない 0点
- わからない 0点
を選択し、点数の合計で情報セキュリティレベルを判断します。
診断項目としては大きく3つのパートに分かれており
- 基本的対策 5問
- 従業員としての対策 13問
- 組織としての対策 7問
となっています。
代表的な質問をピックアップしてみると…
基本的対策
- Windows Updateを行うなどのように、常にOSやソフトウェアを最新の状態にしていますか?
- パソコンにはウイルス対策ソフトを入れてウイルス定義ファイルを自動更新するなどのように、パソコンをウイルスから 守るための対策を行っていますか?
従業員としての対策
- 受信した不審な電子メールの添付ファイルを安易に開いたり本文中のリンクを安易に参照したりしないようにするなど、 電子メールを介したウイルス感染に気をつけていますか?
- 電子メールを送る前に目視にて送信アドレスを確認するなどのように、宛先の送信ミスを防ぐ仕組みを徹底していますか?
組織としての対策
- クラウドサービスなど外部サービスを利用する時は利用規約やセキュリティ対策を確認するなどのように、サービスの安 全・信頼性を把握して選定していますか?
- 社内外での個人所有のパソコンやスマートフォンの業務利用を許可制にするなどのように、業務で個人所有端末の利 用の可否を明確にしていますか?
などなど。
難しい質問はありませんので、サクッと書けてしまいます。これによって自社で出来ていること、出来ていないことを把握し、セキュリティ対策をしなければならないポイントを認識することができます。
最後に
情報セキュリティ対策を怠ることで、企業が受ける不利益(金銭の損失、顧客の損失、業務の損失、従業員への影響などなど)は想像以上です。
「うちみたいな中小企業には漏れて困るような情報は持っていないよ」、と思われている経営者の方は多いと思いますが、情報セキュリティ事故はいつ、誰でも起きる可能性があることを認識し、被害を最小限に抑えるための対策をとっておくべきです。
この自社診断チェックシートで対策が十分でないところ認識し、一つづつ対策を取っていくだけでセキュリティレベルを上げることができ、情報セキュリティ事故発生時の被害を少なくすることができます。
まずは最初の一歩としてこの「5分でできる!情報セキュリティ診断」をやってみましょう。
付録2:5分でできる!情報セキュリティ自社診断シート(IPAのサイトへのリンク)