IPAの中小企業の情報セキュリティ対策ガイドラインと今後の進め方

情報セキュリティのルール作りのために、

  • ISMS(ISO27000シリーズ)を使えば、情報セキュリティの網をかけられる。

と考えて、20名規模のモノづくりメーカーを想定して情報セキュリティマニュアルを作りました。

しかし、完成はしたものの、

はかせ
はかせ

作った本人でさえ分かりにくいし、使いにくい。

手直しをしようと何度か手をつけてはみたものの、ほぼ作り直さないとだめなことに気づき、延び延びとなっていました。

時は過ぎ、IPA(独立行政法人 情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」を利用して作ることにしました。

中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施
スポンサーリンク

IPA(独立行政法人 情報処理推進機構)とは

IPA(独立行政法人 情報処理推進機構)の事業紹介を引用してみます。

IPA:Information-technology Promotion Agency, Japan

“頼れるIT社会”の実現を目指して

IPAは、絶え間なく進化するIT社会の潮流や技術動向を広い視野で捉え、社会課題の解決や産業の発展につながる指針を示していくとともに、情報セキュリティ対策の強化や、優れたIT人材を育成するための活動に取り組み、安全で利便性の高い“頼れるIT社会”の実現に貢献してまいります。

引用先:IPA(独立行政法人 情報処理推進機構) HOME > IPAについて > 事業紹介

このため、

  • 情報セキュリティ対策の実現
  • IT人材の育成
  • IT社会の動向調査・分析・基板構築

を行っている組織で、情報セキュリティについて幅広く様々なことを行っています。

スポンサーリンク

中小企業の情報セキュリティ対策ガイドラインについて

IPAの「中小企業の情報セキュリティ対策ガイドライン」は、情報セキュリティの実現のためのセキュリティ対策の普及啓発事業の1つです。

このガイドラインでは、中小企業にとって重要な情報を、漏えい、改ざんや消失などの脅威から保護するための情報セキュリティ対策の考え方や実践方法について説明しています。

「中小企業の情報セキュリティ対策ガイドライン」の最新は、2019年12月に公開された第3版です。

第3版では、次の様な点を考慮して改訂したそうなので、これなら使える(情報セキュリティのルール作りができる)かもしれないと判断しました。

  • 専門用語の使用をできるだけ避けた。
  • ITに詳しくない中小企業等の経営者にとって理解しやすい表現とした。
  • 対策に取り組めていない中小企業等が段階的に進めていけるよう構成の見直しを行った。
  • 付録として新たに「中小企業のためのクラウドサービス安全利用の手引き」を追加した。

なお、ガイドラインは参考資料などと共に、以下のIPAのWebサイトにまとめられています。

参考:HOME>情報セキュリティ>情報セキュリティ啓発

はかせ
はかせ

中小企業向けに作成されていますが、それでも結構なボリュームがあります。

このガイドラインでは、一気にやろうとせず、段階的に進めることを進めています。

スポンサーリンク

中小企業に情報セキュリティ対策が必要な理由

ここで、中小企業に情報セキュリティ対策が必要な理由について考えてみます。

大企業のように情報セキュリティ専門の部署があるわけでもなく、一人情シスのような中小企業だからこそ、情報セキュリティ対策は企業存続のために必要だと考えています。

はかせ
はかせ

会社の情報セキュリティ対策は、やっているかいないかの差が大きいので、まずはやってみることがポイントになっていると考えています。

中小企業に対しても情報セキュリティ対策が求められている理由は、中小企業に発注する会社が情報セキュリティ対策を実施していたとしても、外注先や調達先が弱ければ、そこを狙われると防ぎようがないからです。

情報セキュリティ対策にはお金がかかります。これをどこまでやるかは、ビジネスが成立するか、会社として事業を継続できることが前提に考える必要があります。

ここでは詳しくは説明しませんが、全ての情報セキュリティのリスクに対応することは無理を通りこして無茶です。このため、リスクによっては、受け入れる(受容する)ことも対策になります。

情報セキュリティやリスクが分からないから、ただ、ただ、「心配だ〜」では、対応しようにも困ってしまいます。

また、情報セキュリティについて考えてみる経営者(社長)と、(分からないから、大変そうだからなど理由をつけて)考えない経営者(社長)との差は、とても大きいと考えています。

この様なことから、実際に情報セキュリティ対策を行う際には、経営者(社長)の経営判断が必須になるため、情報セキュリティの責任者や担当者は、経営判断ができる情報セキュリティ対策やリスクを報告する視点が必要になります。

スポンサーリンク

今後の進め方:情報セキュリティハンドブック

IPAが公開している資料は、下表の通りです。

ボリュームの大きいものもありますが、まずは、一通り目を通します。

ダウンロード先:HOME>情報セキュリティ>情報セキュリティ啓発>中小企業の情報セキュリティ対策ガイドライン

分類文書名備考
本編中小企業の情報セキュリティ対策ガイドライン第3版全60ページ
付録1情報セキュリティ5か条全2ページ
付録2情報セキュリティ基本方針(サンプル)全1ページ
付録35分でできる!情報セキュリティ自社診断全8ページ
付録4情報セキュリティハンドブック(ひな形)全11ページ
付録5情報セキュリティ関連規程(サンプル)全51ページ
付録6クラウドサービス安全利用の手引き全8ページ
付録7リスク分析シート全7シート

表1 ガイドライン等

文書名備考
ガイドライン説明資料全54ページ
中小企業の情報セキュリティ対策ガイドライン普及チラシ
ソリューションガイド

表2 関連資料

これらの資料を一通り目を通してみて、付録番号順に進めていくのもやり方の1つとは思いますが、今回は、次のように進めることにしました。

まずは、付録1、3、6から

上記資料のうち、付録1、3、6からはじめる。

  • 付録2の基本方針は、具体的イメージがないまま考えても時間が過ぎるだけなので、ひとまずサンプルを利用することにして、ルール作りを進めることにします。
  • 付録6は今の時代必須、中小企業ではなおさら必須と考えています。
付録1情報セキュリティ5か条
付録2情報セキュリティ基本方針(サンプル)
付録35分でできる!情報セキュリティ自社診断

付録5と7は先送り(手をつけない)

付録5と付録7は、ひとまず先送りすることにしました。

ボリュームが大きいことと、内容が専門的なため、まずは時々見て慣れるところから始めようと考えたからです。

付録5情報セキュリティ関連規程(サンプル)
付録6クラウドサービス安全利用の手引き
スポンサーリンク

参考:ガイドラインの使い方

「中小企業の情報セキュリティ対策ガイドライン」では、経営者と情報セキュリティ対策を実践する責任者・担当者を想定して作られています。

このガイドラインによる情報セキュリティ対策の進め方は、大きく以下の通りです。

情報セキュリティ対策の必要性

経営者が認識すべき「3原則」と、経営者が実行すべき「重要7項目の取組」がまとめられています。

STEP1

「情報セキュリティ5か条」にりい、まずはできることから始めます。

STEP2

「情報セキュリティ基本方針」を作っていきます。

「5分でできる5分でできる!情報セキュリティ自社診断」で実施状況を把握します。

STEP3

対応すべき自社のリスクに応じた規定を作っていきます。

まとめ

ISMS(ISO27000シリーズ)で20名規模のモノづくり企業のルールを作りましたが分かりやすいとは思えず悩んでいました。

ここでは、IPAの「情報セキュリティ対策ガイドライン」を利用した情報セキュリティ対策の進め方を以下の項目でまとめています。

  • IPA(独立行政法人 情報処理推進機構)とは
  • 中小企業の情報セキュリティ対策ガイドラインについて
  • 中小企業に情報セキュリティ対策が必要な理由
  • 今後の進め方:情報セキュリティハンドブックまずは、付録
  • 参考:ガイドラインの使い方
はかせ

ISOについて学ぶきっかけは、知り合いの社長さんからISOについて相談されたことでした。
品質マネジメントを知るほどに、チーム運営やプロジェクトにも使える意外に良い仕組みであることを再認識しています。

はかせをフォローする
情報セキュリティハンドブック
スポンサーリンク
スポンサーリンク
はかせをフォローする
ビジョンで回す博士の品質マネジメント
タイトルとURLをコピーしました