2025.02.05
中小企業におけるセキュリティ脅威への対策強化~情報セキュリティ対策の進め方『本格的に取り組もう(2/3)』~
目次
独立行政法人情報処理推進機構(IPA)が発行している「中小企業の情報セキュリティ対策ガイドライン第3.1版」の「第2部実践編」では、具体的な対策方法と中小企業の経営者やシステム担当者がこれにどう取り組むべきかを詳しく解説しています。
情報セキュリティ対策に組織全体で取り組むには、実行すべき対策を決めて、従業員に周知する必要があります。
しかし、こうした作業を行うには情報セキュリティに関する知識や経験が必要となるため、それらの知識や経験に長けた人材がいないと対策が進まなくなることも考えられます。
このような背景から、IPAのガイドラインでは規模の小さな企業や、これまで十分な情報セキュリティ対策を実施してこなかった企業などを対象に、すぐに取り組める対策を示し、段階的に発展させていく計画を紹介しています。この「すぐに取り組める対策」が、多くの企業にとって無理なく、自社の状況に応じた対策を開始する道筋となります。
前回から『本格的に取り組みをはじめよう』というテーマで、3回に分けて具体的な取り組み方法をご紹介しています。2回目となる今回は、情報セキュリティ規程に焦点を当て進めていきます。
1.情報セキュリティに対する中小企業の現状
近年、企業や組織を狙ったサイバー攻撃は、頻度や規模を増し日常的に発生する社会的な脅威となっています。最近では、情報セキュリティ対策が強固な大企業ではなく、同一のサプライチェーンを構成する中小企業などの取引先を経由して、攻撃が行われる事例も報じられています。
特に中小企業の場合、セキュリティ対応の不備を悪用され、取引先の機密情報の漏えいや攻撃者が次なる標的へと進むための「踏み台」とされる危険性があります。中小企業は、次の攻撃の足掛かりにされる可能性があることを念頭に置き、適切な情報セキュリティ対策を実施することが重要です。
IPAが作成した、「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書では、中小企業の情報管理に関する実態が浮き彫りになりました。
報告書によると、被害防止のための組織面・運用面の対策のうち、「セキュリティポリシー(セキュリティの規程やルール)が文章化されている」企業は、前回調査の14.6%に対し、今回13.5%とわずかに減少していることがわかります。
つまり、中小企業の約15%弱しか情報セキュリティ規程を文書化していないということです。
セキュリティポリシーは、企業の情報資産を守るために定められたルールやガイドラインです。この規程がなければ、情報を安全に保護し、従業員が安心して情報を取り扱う環境を整えることができません。
セキュリティポリシーを欠いたまま情報セキュリティ対策を進めると、全体的な安全性に欠ける場当たり的な対応に陥る可能性があります。

(引用:「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書)
中小企業がサイバー攻撃の被害を最小限に抑え、さらに安心してビジネス活動を推進するためには、技術的なセキュリティツールの導入以上に、組織の基盤となるルールづくりやガイドラインの整備を進めることが求められます。
2.情報セキュリティ規程の作成
企業が直面するリスクは、その事業内容をはじめ、扱う情報の種類や職場環境、ITインフラの利用状況などによって大きく異なります。汎用的な規程をそのまま使用しても、自社の特性やニーズに適さないことが考えられます。ここでは、自社に適した情報セキュリティ規程を効果的に作成するためのポイントを紹介します。
(1)リスクの洗い出し
まず、情報セキュリティ上のリスクを特定することが必要です。
経営者が懸念する重大なセキュリティ事故を念頭に置きつつ検討を進めます。この時、以下のような状況を併せて考えることで、対応すべきリスクを把握します。
- 外部要因
関連する業務や情報に係る法律や規制、情報セキュリティ事故の傾向、取引先からの情報セキュリティに関する要求事項など
- 内部要因
自社の経営方針や情報セキュリティ方針、管理体制、現行の情報システムの利用状況など

(2)優先的に対応するリスクと対策の決定
全てのリスクに対応しようとすると、高額な費用が必要となったり、業務の非効率化につながるおそれがあります。
そのため、いつ事故が起きてもおかしくない、あるいは事故が起きると大きな被害になるなど、影響が甚大なリスクを優先して対策を実施します。
逆に事故の発生確率が低い、または発生しても被害が軽微なものについては、現状のままにするなど、合理的に対応します。

(3)実践的な規程の作成プロセス
「優先的に対応するリスクと対策の決定」で決めた対策内容を文書化した規程を作成します。
経験が不足している場合、一から作成するのは難しいかもしれません。そのため、中小企業の情報セキュリティ対策ガイドラインに掲載されている「付録5:情報セキュリティ関連規程(サンプル)」(概要は表1)を活用すると良いでしょう。このサンプルを参考に、自社に適した規程にするために修正を加えれば、効率的に規程を完成させることが可能です。
- サンプル使用時のポイント
サンプル文中の赤字や青字で記載された箇所を自社の実情に即した表現や内容に書き換えることで規定を完成できます。
サンプルに明記されていなくても必要な対策や有効な対策があれば、追記します。

(引用:中小企業の情報セキュリティ対策ガイドライン)
さらに、情報セキュリティ対策は以下の3つのカテゴリに分類することで整理しやすくなります。
【人的対策】
従業員教育やガイドライン・規程など「人」に係る対策
サンプル例では、「組織的対策」「人的対策」「情報資産管理」「アクセス制御及び認証」「委託管理」「テレワークにおける対策」「情報セキュリティインシデント対応ならびに事業継続性管理」が該当します。
【物理的対策】
IT機器や施設など、主に情報を管理している実体があるもの(PCや設備など)に係る対策
サンプル例では、「物理的対策」「IT機器利用」「IT基盤運用管理」が該当します。
【技術的対策】
プログラム(セキュリティソフトなど)やネットワーク(ネットワーク監視など)に係る技術的な対策
サンプル例では、「IT機器利用」「IT基盤運用管理」「システム開発及び保守」が該当します。
これらの観点を組み合わせることで、自社に最適な情報セキュリティ規程を策定し、実際の運用面で有効性を発揮することが期待されます。
ここまで「本格的に取り組む」の「情報セキュリティ規程」についてご紹介いたしましたが、いかがだったでしょうか。
規程の作成は一見すると複雑で、ハードルが高いと感じるかもしれません。
しかし、まずは初めの一歩としてサンプルを参考にしながら自社の状況に合わせてカスタマイズすることで、スムーズに進めることができるでしょう。
情報セキュリティ規程は、いわばセキュリティ対策の「バイブル」です。この規程が欠けていると、個々のセキュリティ対策が一貫性を欠いた場当たり的なものになってしまう可能性が高いため、非常に重要です。
また、この規程は単に文章として存在するだけではなく、情報セキュリティ担当者が社内の意識向上を図るための説明をする際の根拠にもなります。
規程を用いることで「なぜこの対策が必要なのか」説得力を持って説明することができ、社内全体のセキュリティ意識の統一を目指す一助となるでしょう。
まずは、脅威への基本的な考え方を整理し、それを文書化して定めることが必要不可欠です。この取り組みは単なるセキュリティ対策だけではなく、長期的には企業の信頼性や競争力を強化し、持続的な企業活動を支える基盤になると考えます。
3.取り組む際の参考資料
ここまでの解説で取り上げたガイドラインでは、「本格的に取り組む」方法に加え、具体的にどのように取り組むべきか、さらに進めるためにはどうしたら良いのかなど発展的な取り組み方法について紹介しています。
ぜひ、理解を深めたい、次のステップに進みたいと思った際の参考にしてください。
1.中小企業の情報セキュリティ対策ガイドライン(IPA)
2.付録5:情報セキュリティ関連規程(サンプル)(IPA)