2025.01.22
中小企業におけるセキュリティ脅威への対策強化~情報セキュリティ対策の進め方 『組織的な取り組みを開始しよう』~
目次
中小企業において、情報セキュリティの脅威はますます無視できない問題となっています。
独立行政法人情報処理推進機構(IPA)が発行している「中小企業の情報セキュリティ対策ガイドライン第3.1版」の「第2部実践編」では、具体的な対策方法と中小企業の経営者やシステム担当者がこれにどう取り組むべきかを詳しく解説しています。
情報セキュリティ対策に組織全体で取り組むには、実行すべき対策を決めて、従業員に周知する必要があります。
しかし、こうした作業を行うには情報セキュリティに関する知識や経験が必要となるため、それらの知識や経験に長けた人材がいないと対策が進まなくなることも考えられます。
このような背景から、IPAのガイドラインでは規模の小さな企業や、これまで十分な情報セキュリティ対策を実施してこなかった企業などを対象に、すぐに取り組める対策を示し、段階的に発展させていく計画を紹介しています。この「すぐに取り組める対策」が、多くの企業にとって無理なく、自社の状況に応じた対策を開始する道筋となります。
今回は、『組織的な取り組みを開始しよう』と題し、すぐに始められる情報セキュリティ対策に焦点を当てて進めていきます。
1.情報セキュリティに対する中小企業の現状
IPAが作成した、「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書によると、情報セキュリティに関する組織体制について、「組織的には行っていない(各自の対応)」と回答した企業の割合が、規模が小さい企業ほど多く見られました。
小規模企業者では56.2%、100人以下の中小企業では42.7%、101人以上の中小企業では19.7%が、情報セキュリティ対策を組織的に行っていないと回答しています。
つまり、100人以下の中小企業・小規模企業者の約半数が「組織的に行わず、各自に任せている」状況にあると言えます。

(引用:「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書)
「中小企業の情報セキュリティ対策ガイドライン第3.1版」の「第1部経営者編」では、情報セキュリティ対策は経営者こそが中心的な役割を果たすべきだと示されており、リーダーシップを発揮して推進することが求められています。
これは、情報セキュリティ対策を従業員「各自に任せる」のではなく、「組織的に実施すること」を求めていると言えます。
2.組織的な取り組みを開始する
次に、具体的に「組織的な取り組み」をどのように進めるかについて見ていきましょう。
(1)情報セキュリティ基本方針の作成意義
情報セキュリティ対策を組織に浸透させるためには、経営者主導のもとで情報セキュリティに関する基本方針を定めることが重要です。そして、この基本方針を、従業員や関係者に効果的に伝えるためには、簡潔な文書で表現しましょう。
基本方針には決まった書式や形式はありませんが、IPAが提供している「情報セキュリティ基本方針(サンプル)」(付録2)などを参考にするとよいでしょう。
自社の事業の特徴や顧客のニーズを踏まえて、経営者と連携しつつ、自社に適した基本方針を作成することが大切です。
また、策定した基本方針は従業員に対するセキュリティ行動指針としてだけではなく、関係者に対して自社のセキュリティへの取り組み姿勢を表明するものでもあります。
作成した文書は、従業員や顧客などの関係者に周知し、透明性のある取り組みを積極的にアピールすることが望まれます。

(引用:中小企業の情報セキュリティ対策ガイドライン)
(2)自社のセキュリティ状況の把握
「5分でできる!情報セキュリティ自社診断」(付録3)を利用して、情報セキュリティ対策が現状でどの程度実施されているか把握することができます。
自社診断は、下記の表(図3)に示されている25項目の設問に答えるだけで、情報セキュリティ対策の実施状況を把握できるツールです。現状把握のために、積極的に活用しましょう。
具体的な使い方は以下のとおりです。
【手順1】
経営者または情報システム担当や部門長など実施状況が分かる人が「5分でできる!情報セキュリティ自社診断」の診断編に記入します。
【手順2】
事業所が複数ある、部署数が多いなど、一人で記入することが難しい場合には、事業所や部署ごとに記入し、責任者・担当者が集計します。
【手順3】
実施状況が分からない場合は、各従業員に質問して、回答を総合して記入します。
【手順4】
チェック欄の該当するもの1つに〇を付けて、「実施している…4点」「一部実施している…2点」「実施していない…0点」「わからない…-1点」で採点します。
【手順5】
全項目の合計点で、組織全体のセキュリティ対策の実施状況と、回答が「わからない」になっている項目を把握します。

(引用:5分でできる!情報セキュリティ自社診断)
(3)対策の決定と周知
診断結果をもとに、自社で実行すべき情報セキュリティ対策を検討しましょう。その際、参考資料として「5分でできる!情報セキュリティ自社診断」の解説編を利用することで、簡単かつ効率的に対策を検討できます。
この資料には、コストを抑えつつ効果が期待できる具体的な対策例が示されているため、診断結果に基づき、自社に適した施策を検討する手助けとなります。
具体的な使い方は以下のとおりです。
- 対策の検討と決定は、責任者・担当者と経営者が行います。
- 診断項目ごとに対策を実施しない場合に考えられる被害・事故や、防止するための対策例が示されているので、参考にして検討します。
- 検討する際には従業員の意見を聞き、職場環境や業務に適した対策を決定します。

(引用:5分でできる!情報セキュリティ自社診断)
(4)情報セキュリティハンドブックの作成と周知
対策が決定した後、その内容を従業員一人ひとりが実践できる形で定めた「情報セキュリティハンドブック」を作成し、周知します。
このハンドブックの作成には「情報セキュリティハンドブック(ひな形)」(付録4)を活用します。情報セキュリティハンドブック(ひな形)は、「5分でできる!情報セキュリティ自社診断」の対策例と連動しており、具体的な対策が明確化されています。
作成したハンドブックは単なる資料として従業員に配布するにとどまらず、必要に応じて説明会を実施しましょう。従業員が内容を十分に理解し、日常業務に反映できるよう徹底します。
作成方法と運用の流れは以下のとおりです。
- 情報セキュリティハンドブックは、責任者・担当者が作成します。
- ひな形に記載された例文を編集して、決定した対策を社内ルールとして明文化します。(図5.情報セキュリティハンドブック(ひな形)のカスタマイズ例を参照)
- 完成した情報セキュリティハンドブックを全従業員に配付し、必要に応じて説明する機会を設けるなどして、情報セキュリティ対策を徹底します。

(参考:情報セキュリティハンドブック(ひな形))
3.組織的な取り組みを開始した企業の事例
【事例1:社内体制の構築と情報セキュリティ対策を実施】
当社は愛媛県で生活関連サービス業を営んでおり、従業員数は50名以下の企業です。
主な顧客は個人であり、企業間取引は少数派です。
会社としては、「情報セキュリティ対策は当然実施すべきである」という認識のもと、IT業者の意見を参考にしながら対策を進めています。
情報セキュリティを専門とする担当者は不在ですが、兼務の担当者を任命し、担当者主導による対策を進めています。
また、情報セキュリティ対策を業者任せにせず、社内体制や報告体制の構築にも力を入れています。
たとえば、緊急時の報告体制として、経営者、責任者、関係先、業界団体も含め、報告ルートを細かく内規で定めています。
情報セキュリティ上の被害にあったことが疑われる場合には、情報セキュリティ以外の有事の際の報告ルートと同様の報告を行うよう、従業員には求めています。
引用:IPA:2021年度 中小企業における情報セキュリティ対策に関する実態調査―事例集―より一部抜粋
4.SECURITY ACTION「★★二つ星」取得のすすめ
「SECURITY ACTION」は、中小企業が自主的に情報セキュリティ対策に取り組む姿勢を自己宣言する制度です。安全・安心なIT社会を実現するために創設されました。
「★★二つ星」を宣言するためには、いくつかのプロセスを経る必要があります。
まずは、「中小企業の情報セキュリティ対策ガイドライン」に付属している、付録3「5分でできる!情報セキュリティ自社診断」を活用し、自社のセキュリティ状況を評価します。
その後、同ガイドラインの付録2「情報セキュリティ基本方針(サンプル)」を参考に自社の情報セキュリティ基本方針を策定します。
この基本方針は社内だけでなく外部にも公開する必要があります。外部への公開により、「組織的な取り組みを開始する」を実施したことの宣言になります。
外部公開の方法としては、自社ウェブサイトへの掲載や会社案内やパンフレットへの掲載などが選択できます。また、「★一つ星」宣言から「★★二つ星」へのステップアップだけではなく、準備が整えば「★★二つ星」からの宣言も可能です。
SECURITY ACTION 自己宣言の申込方法はこちらを参照してください。

5.最後に
ここまで「組織的な取り組みを開始する」ためのプロセスと、それを実行した証としてのSECURITY ACTION「★★二つ星」についてご紹介いたしましたが、いかがだったでしょうか。
「情報セキュリティ対策を組織的に始めたいが、何から始めればよいかわからない」「具体的な手段が分からない」とお考えの中小企業が多いのは統計からみても明らかです。
この「SECURITY ACTION」の自己宣言プロセスは決して難しくありません。
初めて取り組む企業でも詳細な手順をIPAの公式サイトで確認できるので、情報セキュリティの取り組みを加速させたい中小企業にとって有益な第一歩となるでしょう。
まずはこのような取り組みを組織的に開始することが、自社の安全性確保と信頼性向上に繋がり、企業の持続可能な発展を支える鍵となると考えます。
今回の内容が実践への第一歩を踏み出す手助けとなることを願っています。
6.取り組む際の参考資料
ここまでの解説で取り上げたガイドラインでは、「組織的な取り組みを開始する」の解説に加えて、具体的にはどのように取り組んだら良いのか、さらに進めるためにはどうしたら良いのかなど発展的な取り組み方法について紹介しています。
ぜひ、理解を深めたい、次のステップに進みたいと思った際の参考にしてください。
1.中小企業の情報セキュリティ対策ガイドライン(IPA)
2.付録1:情報セキュリティ5か条(IPA)
3.付録2:情報セキュリティ基本方針(サンプル)(Wordファイル、IPA)
4.付録3:5分でできる!情報セキュリティ自社診断(IPA)
5.付録4:情報セキュリティハンドブック(ひな形)(PowerPointファイル、IPA)
6.「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書(IPA)
7.「2021年度 中小企業における情報セキュリティ対策に関する実態調査」事例集(IPA)
8.SECURITY ACTION(IPA)