情報セキュリティのルール作りのために、
- ISMS(ISO27000シリーズ)を使えば、情報セキュリティの網をかけられる。
と考えて、20名規模のモノづくりメーカーを想定して情報セキュリティマニュアルを作りました。
しかし、完成はしたものの、
作った本人でさえ分かりにくいし、使いにくい。
手直しをしようと何度か手をつけてはみたものの、ほぼ作り直さないとだめなことに気づき、延び延びとなっていました。
時は過ぎ、IPA(独立行政法人 情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」を利用して作ることにしました。
IPA(独立行政法人 情報処理推進機構)とは
IPA(独立行政法人 情報処理推進機構)の事業紹介を引用してみます。
IPA:Information-technology Promotion Agency, Japan
“頼れるIT社会”の実現を目指して
IPAは、絶え間なく進化するIT社会の潮流や技術動向を広い視野で捉え、社会課題の解決や産業の発展につながる指針を示していくとともに、情報セキュリティ対策の強化や、優れたIT人材を育成するための活動に取り組み、安全で利便性の高い“頼れるIT社会”の実現に貢献してまいります。
引用先:IPA(独立行政法人 情報処理推進機構) HOME > IPAについて
このため、
- 情報セキュリティ対策の実現
- IT人材の育成
- IT社会の動向調査・分析・基板構築
を行っている組織で、情報セキュリティについて幅広く様々なことを行っています。
中小企業の情報セキュリティ対策ガイドラインについて
IPAの「中小企業の情報セキュリティ対策ガイドライン」は、情報セキュリティの実現のためのセキュリティ対策の普及啓発事業の1つです。
このガイドラインでは、中小企業にとって重要な情報を、漏えい、改ざんや消失などの脅威から保護するための情報セキュリティ対策の考え方や実践方法について説明しています。
「中小企業の情報セキュリティ対策ガイドライン」の最新は、2019年12月に公開された第3版です。
第3版では、次の様な点を考慮して改訂したそうなので、これなら使える(情報セキュリティのルール作りができる)かもしれないと判断しました。
- 専門用語の使用をできるだけ避けた。
- ITに詳しくない中小企業等の経営者にとって理解しやすい表現とした。
- 対策に取り組めていない中小企業等が段階的に進めていけるよう構成の見直しを行った。
- 付録として新たに「中小企業のためのクラウドサービス安全利用の手引き」を追加した。
なお、ガイドラインは参考資料などと共に、以下のIPAのWebサイトにまとめられています。
中小企業向けに作成されていますが、それでも結構なボリュームがあります。
このガイドラインでは、一気にやろうとせず、段階的に進めることを進めています。
中小企業に情報セキュリティ対策が必要な理由
ここで、中小企業に情報セキュリティ対策が必要な理由について考えてみます。
大企業のように情報セキュリティ専門の部署があるわけでもなく、一人情シスのような中小企業だからこそ、情報セキュリティ対策は企業存続のために必要だと考えています。
会社の情報セキュリティ対策は、やっているかいないかの差が大きいので、まずはやってみることがポイントになっていると考えています。
中小企業に対しても情報セキュリティ対策が求められている理由は、中小企業に発注する会社が情報セキュリティ対策を実施していたとしても、外注先や調達先が弱ければ、そこを狙われると防ぎようがないからです。
情報セキュリティ対策にはお金がかかります。これをどこまでやるかは、ビジネスが成立するか、会社として事業を継続できることが前提に考える必要があります。
ここでは詳しくは説明しませんが、全ての情報セキュリティのリスクに対応することは無理を通りこして無茶です。このため、リスクによっては、受け入れる(受容する)ことも対策になります。
情報セキュリティやリスクが分からないから、ただ、ただ、「心配だ〜」では、対応しようにも困ってしまいます。
また、情報セキュリティについて考えてみる経営者(社長)と、(分からないから、大変そうだからなど理由をつけて)考えない経営者(社長)との差は、とても大きいと考えています。
この様なことから、実際に情報セキュリティ対策を行う際には、経営者(社長)の経営判断が必須になるため、情報セキュリティの責任者や担当者は、経営判断ができる情報セキュリティ対策やリスクを報告する視点が必要になります。
情報セキュリティハンドブックの構成
IPAが公開している資料は、下表の通りです。
ボリュームの大きいものもありますが、まずは、一通り目を通します。
| 分類 | 文書名 | 備考 |
|---|---|---|
| 本編 | 中小企業の情報セキュリティ対策ガイドライン第3版 | 全60ページ |
| 付録1 | 情報セキュリティ5か条 | 全2ページ |
| 付録2 | 情報セキュリティ基本方針(サンプル) | 全1ページ |
| 付録3 | 5分でできる!情報セキュリティ自社診断 | 全8ページ |
| 付録4 | 情報セキュリティハンドブック(ひな形) | 全11ページ |
| 付録5 | 情報セキュリティ関連規程(サンプル) | 全51ページ |
| 付録6 | クラウドサービス安全利用の手引き | 全8ページ |
| 付録7 | リスク分析シート | 全7シート |
表1 ガイドライン等
| 文書名 | 備考 |
|---|---|
| ガイドライン説明資料 | 全54ページ |
| 中小企業の情報セキュリティ対策ガイドライン普及チラシ | - |
| ソリューションガイド | - |
表2 関連資料
これらの資料を一通り目を通してみて、付録番号順に進めていくのもやり方の1つとは思いますが、今回は、次のように進めることにしました。
まずは、付録1、3、6から
上記資料のうち、付録1、3、6からはじめる。
- 付録2の基本方針は、具体的イメージがないまま考えても時間が過ぎるだけなので、ひとまずサンプルを利用することにして、ルール作りを進めることにします。
- 付録6は今の時代必須、中小企業ではなおさら必須と考えています。
| 付録1 | 情報セキュリティ5か条 |
|---|---|
| 付録2 | 情報セキュリティ基本方針(サンプル) |
| 付録3 | 5分でできる!情報セキュリティ自社診断 |
付録5と7は先送り(手をつけない)
付録5と付録7は、ひとまず先送りすることにしました。
ボリュームが大きいことと、内容が専門的なため、まずは時々見て慣れるところから始めようと考えたからです。
| 付録5 | 情報セキュリティ関連規程(サンプル) |
|---|---|
| 付録6 | クラウドサービス安全利用の手引き |
参考:ガイドラインの使い方
「中小企業の情報セキュリティ対策ガイドライン」では、経営者と情報セキュリティ対策を実践する責任者・担当者を想定して作られています。
このガイドラインによる情報セキュリティ対策の進め方は、大きく以下の通りです。
情報セキュリティ対策の必要性
経営者が認識すべき「3原則」と、経営者が実行すべき「重要7項目の取組」がまとめられています。
STEP1
「情報セキュリティ5か条」にりい、まずはできることから始めます。
STEP2
「情報セキュリティ基本方針」を作っていきます。
「5分でできる5分でできる!情報セキュリティ自社診断」で実施状況を把握します。
STEP3
対応すべき自社のリスクに応じた規定を作っていきます。
まとめ
ISMS(ISO27000シリーズ)で20名規模のモノづくり企業のルールを作りましたが分かりやすいとは思えず悩んでいました。
ここでは、IPAの「情報セキュリティ対策ガイドライン」を利用した情報セキュリティ対策の進め方を以下の項目でまとめています。
- IPA(独立行政法人 情報処理推進機構)とは
- 中小企業の情報セキュリティ対策ガイドラインについて
- 中小企業に情報セキュリティ対策が必要な理由
- 今後の進め方:情報セキュリティハンドブックまずは、付録
- 参考:ガイドラインの使い方
