中小企業におけるセキュリティ脅威への対策強化　〜経営者は何をしなければならないのか 後編〜

独立行政法人情報処理推進機構（IPA）が発行している「中小企業の情報セキュリティ対策ガイドライン 第3.1版」から、前回に引き続き、経営者として「サイバーセキュリティ確保にどうやって向き合うのか、何をやらなければいけないのか」に焦点を当てています。

前回は「認識すべき３原則」についてご説明いたしました。
今回はその続きとなる、「実行すべき重要 7項目の取組」について説明します。

実行すべき重要７項目の取り組み

サイバーセキュリティを確保するために、経営者の役割と取り組みを説明します。
経営者は、重要７項目の取組について、自ら実践するか、実際にサイバーセキュリティ対策を実践するうえでの責任者・担当者に対して指示をします。実施する内容によっては、経営者自らが実行しなければならない事もあります。例えば組織全体の取り組みなどです。

また、７項目のうち取組１～４は前回の記事で説明した「情報セキュリティガバナンスの構築」と言い換えることもできます。

取組１「サイバーセキュリティに関する組織全体の対応方針を定める」

サイバーセキュリティ対策を組織的に実施する意思を、従業員や関係者に明確に示すために、どのような情報をどのように守るかについて、自社に適したサイバーセキュリティに関する基本方針を定め、明文化して宣言します。
自社の経営において最も懸念される事態を明確にすることで具体的な対策を促し、組織としての方針を立てやすくなります。
これは、前出の「SECURITY ACTION」の二つ星宣言の必要項目ともなっており、基本的には経営者が自ら実行しなければならないものの一つに挙げられます。

取組２「サイバーセキュリティ対策のための予算や人材などを確保する」

サイバーセキュリティ対策を実施するために、必要な予算と担当者を確保します。
これには事故の発生防止だけでなく、万が一事故が起きてしまった場合の被害の拡大防止や、復旧対応も含みます。
サイバーセキュリティ対策には高度な技術が必要なため、専門的な外部サービスの利用も検討します。
（前回ご説明した『情報セキュリティガバナンスのフレームワーク』2.ISMの計画）

取組３「必要と考えられる対策を検討させて実行を指示する」

懸念される事態に関連する情報や業務を整理し、損害を受ける可能性（リスク）を把握したうえで、責任者・担当者に対策を検討させます。必要とされる対策には予算を与え、実行を指示します。
実施する対策は、社内ルールとして文書にまとめておくことで、従業員も実行しやすくなり、取引先などに取り組みを説明する際にも役に立ちます。
実行を指示したサイバーセキュリティ対策がどのように現場で実施されているかについて、月次や四半期ごとなど適切なタイミングで報告させ、進捗や効果を把握します。
（『情報セキュリティガバナンスのフレームワーク』2.ISMの構築と実施）

取組4「サイバーセキュリティ対策に関する適宜の見直しを指示する」

取組3で指示したサイバーセキュリティ対策について、実施状況を点検させ、取組１で定めた方針に沿って進んでいるかどうか評価します。
また、業務や顧客の期待の変化なども踏まえて基本方針を適宜見直し、致命的な被害につながらないよう、対策の追加や改善を行うように、責任者・担当者に指示します。
（『情報セキュリティガバナンスのフレームワーク』4.評価と方向性の見直し）

取組５「緊急時の対応や復旧のための体制を整備する」

被害範囲や根本原因を速やかに追究して被害の拡大を防ぐ緊急時の対応体制を整備します。
同時に、緊急時の業務復旧に向けた、的確な復旧手順をあらかじめ作成しておくことで、適切な指示を出すことができます。
整備後には予定どおりに機能するかを確認するため、被害発生を想定した模擬訓練を行い、従業員に対する意識づけや適切な対応が可能かを確認します。
経営者のふるまいについても、あらかじめ想定しておけば、冷静で的確な対応が可能になります。
また、この考え方はサイバーセキュリティインシデントにとどまらず、一般的な災害対策でも有効です。

取組６「委託や外部サービス利用の際にはセキュリティに関する責任を明確にする」

業務の一部を外部に委託する場合は、委託先でも少なくとも自社と同等の対策が行われるようにしなければなりません。そのためには契約書にサイバーセキュリティに関する委託先の責任や実施すべき対策を明記し、合意する必要があります。

ITシステム（電子メール、ウェブサーバー、ファイルサーバー、業務アプリケーションなど）に関する技術に詳しい人材がいない場合、自社でシステムを構築・運用するよりも、外部サービスを利用したほうが、コスト面から有利な場合があります。ただし、安易に利用することなく、利用規約や付随するサイバーセキュリティ対策などを十分に検討するよう担当者に指示する必要があります。

◇参照：より良い外部サービスが選べる「サイバーセキュリティお助け隊サービス」

 「サイバーセキュリティお助け隊サービス」は、中小企業等に対するサイバー攻撃への対処として不可欠なサービスを要件にまとめ、ワンパッケージで安価に提供するサービスです。
所定の審査機関により要件を満たすことが確認された民間サービスを「サイバーセキュリティお助け隊サービス」としてIPAが登録・公表しています。

サイバーセキュリティ対策のワンパッケージ例

（１）見守り：24時間365日監視挙動や問題のある攻撃を検知し、あなたのPCとネットワークを守ります。

（２）駆付け：問題が発生したときに地域のIT事業者等が駆付け対応します。（リモート支援の場合あり）

（３）保険：簡易サイバー保険で駆付け支援等のサイバー攻撃による被害対応時に突発的に発生する各種コストが補償されます。
参考：サイバーセキュリティお助け隊サービスリスト

※『IT導入補助金』(中小企業・小規模事業者のみなさまがITツール導入に活用いただける補助金)で「サイバーセキュリティお助け隊サービス」のサービス利用料の支援が受けられます。

参考：https://it-shien.smrj.go.jp/applicant/subsidy/security/

取組７「サイバーセキュリティに関する最新動向を収集する」

情報技術の進歩の速さから、実施を検討すべき対策は目まぐるしく変化します。
自社だけで全てのサイバーセキュリティ情報を把握することは困難です。この場合には、サイバーセキュリティに関する最新動向を発信している公的機関などを把握しておき、常時参照することでセキュリティリスクに備えるように担当者に指示します。

また、知り合いやコミュニティへの参加で情報交換を積極的に行い、得られた情報について、自社内や委託先などと共有します。

参考：サイバーセキュリティに関する最新動向を発信している公的機関

・IPA（独立行政法人情報処理推進機構）
・NISC（内閣サイバーセキュリティセンター）

2回に分けてサイバーセキュリティ確保に向けた、経営者としての「認識すべき３原則」と「実行すべき重要７項目の取組」と「関連するサービスに」ついてご説明しました。委託先を含め、会社規模や目的に合ったサイバーセキュリティ対策組織を作り、常に進化させることが最も重要なことと言えます。
次回もお楽しみに！