2025.02.19
中小企業におけるセキュリティ脅威への対策強化 ~よくある質問への回答~
目次
これまで、独立行政法人情報処理推進機構(IPA)が発行する「情報セキュリティ10大脅威2024」や「中小企業の情報セキュリティ対策ガイドライン第3.1版」を基に、中小企業の経営者やシステム担当者が行うべき情報セキュリティ対策について掘り下げてきました。
今回は、セミナーやメルマガのアンケートで寄せられた質問に焦点を当てて解説します。
- 経営層に求められるリーダーシップの具体的アクションと社員教育の進め方 【組織・人的対策】
- 情報資産の扱い方・管理方法 【技術的対策】
1.経営層に求められるリーダーシップの具体的アクション
情報セキュリティにおいて最も重要な要素は、定着化であると言っても過言ではありません。とはいえ、この定着化の実現は、最も困難な要素でもあります。
経営層の方からよく聞く声として、次のようなものがあります。
・規程を作ったが、どう徹底させればよいかわからない
・現場が面倒くさがって、なかなか実行してくれない
・社員のITリテラシーが低く、理解が進まない
・社内教育は実施しているが、浸透しない
これらを解決するためには、次の4つのアクションが重要です。
・経営層の積極的な参画
・セキュリティ規程の見直し
・従業員に自分事として感じさせる
・定期点検の有効活用
「セキュリティ規程の見直し」と「定期点検の有効活用」は、以前の記事で解説したので、今回は「経営層の積極的な参画」と「従業員に自分事として感じさせる」という観点で進めていきます。
(1)経営層の積極的な参画
情報セキュリティ対策を疎かにすると、経営に大きな影響を与え、最悪の場合、経営破綻や法的・道義的責任を問われることもあります。企業と従業員を守るため、情報セキュリティ対策は組織全体で取り組む必要があり、経営層の関与が不可欠です。
経営層の積極的な関与なしに、情報セキュリティ対策は成り立たないといえます。
経営層には自らが情報セキュリティに取り組むことを宣言し(情報セキュリティ基本方針の作成と公開)、具体的な対策を「企業や組織を守るためだけでなく従業員を守るための取り組みである」ことを説明することが求められます。また、その後も継続的に対策に取り組む姿勢を見せることが重要です。
(2) 経営層が果たすべき具体的なリーダーシップ
経営層には、サイバーセキュリティ経営ガイドラインVer3.0に記載されているサイバーセキュリティ※対策におけるリーダーシップと同等のことが求められます。具体的な取り組みは以下の通りです。
・社内全体でサイバーセキュリティ(情報セキュリティ)対応方針を決定
・リスク管理体制の構築
・予算、人材などの資源の確保
・リスクの把握と対応計画の策定
・リスクに対応する仕組みの構築
・PDCAサイクルによる対策の実施
・インシデント発生時の緊急対応体制の整備
・インシデント被害に備えた復旧体制の準備
経営層は、担当者を決めて任せる、または専門家に依頼しながら進めるリーダーシップが必要となります。特に、「任せきり」や「依頼しっぱなし」にならないよう、常にフォローアップすることが重要です。
※サイバーセキュリティと情報セキュリティとの違い
セキュリティ対策の基本的な考え方は同じと言えるが、サイバーセキュリティは情報セキュリティの3要素である、「機密性」「完全性」「可用性」に「安全性」(テロや戦争などの物理的な機器の破壊を想定)が加わり、かつ、デジタルデータを対象としている。また、情報セキュリティでは対象となっていた紙媒体が対象外となっていることが大きな違いといえる。
2.教育の進め方
情報セキュリティ教育は、以下の点を考慮して教育計画を年度単位で立案します。
・情報セキュリティ関連規程の説明(特に入社時や規程改訂時)
・最新の脅威に関する注意喚起(随時)
・関連法令の理解(特に公布・施行時)
・個人情報の取り扱いに関する留意事項
また、情報セキュリティ教育で重視すべきポイントは次の3点です。
・基礎知識の提供
・脅威の具体的理解
・自ら対策を考える能力の育成
学習には、独立行政法人情報処理推進機構(IPA)が提供しているコンテンツを利用するとよいでしょう。
(1)基礎知識の提供
「5分でできる!情報セキュリティポイント学習」など、簡単に学べるコンテンツを活用し、従業員が日常の中で実践的に学べるようにします。このコンテンツは、主に中小企業で働く方を対象に、職場の日常の1コマを取り入れた1テーマ5分程度の無料コンテンツです。
従業員向けコース(4テーマ)は、親しみやすい内容で、セキュリティに関する様々な事例を疑似体験しながら、適切な対処法を学ぶことができます。
(2)脅威の具体的理解
「情報セキュリティ10大脅威2024」や「映像で知る情報セキュリティ」などを活用します。
情報セキュリティ10大脅威2024は、組織編と個人編の2系統で構成されています。これらの学習を通じて自社や自身を脅かす可能性のある脅威について学び、自分自身の身の回りに起こり得ることと捉えてもらい、具体的なリスクについて理解を深めます。
また、映像教材を利用すれば、ドラマ仕立てで情報セキュリティ上の様々な脅威と対策を学ぶことができます。
(3)自ら考える能力の育成
危険予知訓練(KYT:危険のK、予知のY、訓練(トレーニング)のTをとったもの)を通じて、組織や職場に潜むリスクを発見し、対応策を考える力を養います。KYTの基礎手法である「KYT基礎4ラウンド法」では、危険の潜むイラストを使ったシミュレーションにより、リスクを予測し、対策を検討する能力を身につけることができます。
イラストの例を図1に示します
引用元:令和6年度 東京都中小企業サイバーセキュリティフォローアップ事業
第1回セミナー 「社内へのサイバーセキュリティ対策の浸透」より抜粋
引用元:厚生労働省 職場のあんぜんサイト から抜粋引用
これらを組み合わせることで、従業員が自分事としてとらえられるように学習していきます。
具体的な進め方の詳細は下記のサイトをご確認ください。
・職場のあんぜんサイト:危険予知訓練(KYT) (厚生労働省)
3.資産の扱い方・管理方法
ここでは、情報セキュリティにおける資産の洗い出し方法と管理するためのリスク分析の方法を解説します。
情報資産の把握方法については、こちらの記事でも紹介しています。あわせてご覧ください。
・コスト意識から投資意識へ~セキュリティ対策に関わる費用と効果~
(1)資産管理台帳の作成
業務で利用する電子データや書類を洗い出し、情報資産管理台帳に記入します。
その際、業務の流れ(業務フロー)に沿って情報資産を整理すると、業務全体を俯瞰でき、どのように情報を生成し、保持し、破棄しているかといったライフサイクルが見えるので効果的です。
例えば、「受注データ」は、注文受付で発生し、販売管理システムで管理され、期間が過ぎると、注文書破棄のタイミングで消滅します。
引用元[IPA]セキュリティプレゼンターカンファレンス2017 資料を基に作成
また、資産の粒度は、細かすぎると管理が大変になり、逆に粗いと次のリスク分析が難しくなります。
例えば、「設計書」などと大きい単位で洗い出しを行い、顧客単位に分ける必要はありません。下記の「台帳記入例」シートのリストアップ例が資産粒度の目安となります。
この作業を通じて、業務フローに沿った形で情報の管理が可能となります。
図4 資産管理台帳記入例
引用元:中小企業の情報セキュリティ対策ガイドライン第3.1版を基に作成
(2)資産の評価
次に、それぞれの情報資産ごとに情報セキュリティの3要素(機密性・完全性・可用性)に対する評価を行い、その影響度を明確にします。法律や契約などの要件も確認しつつ、企業独自の基準で判断します。
図5 評価基準を追記した資産管理台帳記入例
引用元:中小企業の情報セキュリティ対策ガイドライン第3.1版を基に作成
(3)資産の管理
3要素の評価から重要度を決定し、発生頻度なども考慮した上で、リスク値を算出します。
リスク値の大きさに基づき、適切な対応策を検討して管理します。
図6 リスク値まで決定した資産管理台帳記入例
引用元:中小企業の情報セキュリティ対策ガイドライン第3.1版を基に作成
情報セキュリティ管理を成功に導くためには、経営層と従業員が共にセキュリティの重要性を理解し、「自分事」と認識して積極的に関与することが大切です。
また、情報資産は「何から何を守るのか」を念頭に、「どのような脅威があるのか」「発生したらどう対応するのか」を中心に管理していくこともおわかりいただけたかと思います。
このように、情報セキュリティは組織的・個人的に「自分事」という認識をもち、自ら積極的に行動することで実現できるものです。
このような自立した組織を形成することが、企業の持続可能な発展を支える鍵となると考えます。
ご購読ありがとうございました。
4.関連文書
今回の記事でご紹介した情報のリンク先を以下に記載しています。
ぜひ、理解を深めたい、次のステップに進みたいと思った際の参考にしてください。
- 情報セキュリティ10大脅威2024(IPA)
- 中小企業の情報セキュリティ対策ガイドライン(IPA)
- サイバーセキュリティ経営ガイドラインVer3.0(IPA)
- 5分でできる!情報セキュリティポイント学習(IPA)
- 映像で知る情報セキュリティ(IPA)
- 職場の安全サイト(厚生労働省)
おすすめ記事
2024.08.23
2024.09.16
2024.08.20
2024.10.16
2024.09.02
2025.02.06
