経営者の方へ「攻めと守りのIT活用:情報セキュリティ対策」
情報セキュリティ対策
社会のIT化が進む中、いかにして大切な情報資産(営業秘密や顧客情報など)を外部の脅威から守るか…ということが、経営課題の一つとして重要な位置を占めるようになってきています。
今回はこの経営課題を解決するため、情報セキュリティ対策をどのように進めていけばよいのかについて、独立行政法人情報処理推進機構(以下IPA)の『中小企業の情報セキュリティ対策ガイドライン』(https://www.ipa.go.jp/files/000055520.pdf)の内容をもとにお話しします。
1.情報セキュリティ対策の必要性
『中小企業の情報セキュリティ対策ガイドライン』では、「情報セキュリティ対策を怠ることで企業が被る不利益」として、金銭の損失、顧客の喪失、業務の停滞、従業員への影響の4点を主な不利益として挙げています(P6~7)こうした不利益が生じないためにも、情報セキュリティ対策を進めていく必要があります。
2.中小企業における情報セキュリティ対策の具体的な取り組み方
では、情報セキュリティ対策をどのように取り組んでいけばよいのでしょうか。企業規模に関係なく必ず実行するべき重要な情報セキュリティ対策として、『中小企業の情報セキュリティ対策ガイドライン』では、「情報セキュリティ5か条」を示しています(P17)これは年々巧妙で悪質になっていくさまざまな脅威に対し、共通した基本的対策になります。まずはこの「情報セキュリティ5か条」を自社で実践しているかどうか検証し、実践していないものに関してはすぐに実践をすることをお勧めします。
またこの「情報セキュリティ5か条」に取り組むことで、「SECURITY ACTION」の「★一つ星」を宣言することができます。「SECURITY ACTION」はIPAが提唱する情報セキュリティ対策の自己宣言制度です。宣言することで「SECURITY ACTION」のロゴマークを利用することができ、ウェブサイトやポスター、パンフレット、名刺といった自社宣伝ツールに使用することで、対外的に情報セキュリティ対策に積極的に取り組む企業としてアピールすることができます。「SECURITY ACTION」には、さらにもう一歩情報セキュリティ対策を進める段階として「★★二つ星」があります。「★★二つ星」では、『中小企業の情報セキュリティ対策ガイドライン』付録の「5分でできる!情報セキュリティ自社診断」を行い、自社の情報セキュリティの現状を把握したうえで、情報セキュリティ基本方針を定めてそれを外部に公開します。「★一つ星」を宣言した後は、この「★★二つ星」へのステップアップを目指すとよいでしょう。なお「SECURITY ACTION」はIT導入補助金2019の申請要件となっていました。
(「SECURITY ACTION」に関しては、https://www.ipa.go.jp/security/security-action/index.htmlをご参照ください。取り組み事例の紹介などもあります)
3.情報セキュリティ対策での経営者の役割
『中小企業の情報セキュリティ対策ガイドライン』では、情報セキュリティ対策で経営者が果たすべき役割について言及しています(P10~13)
そこでは経営者がまず認識すべき原則として、以下のものを挙げています。
次に経営者が自ら取り組んだり情報セキュリティ対策の責任者・担当者に指示したりすべき事項として、以下の「重要7項目の取組」を挙げています。
取組7に関しては、図表2の「情報セキュリティ5か条」の対策例にあるように、IPAなどのセキュリティ専門機関のウェブサイトやメールマガジンを利用するとよいでしょう。
4.おわりに
『中小企業の情報セキュリティ対策ガイドライン』にもあるように、情報セキュリティ対策は「できるところから始める」ことが大切です。まずは「情報セキュリティ5か条」から始めて、徐々に情報セキュリティ対策の取組を充実させていくとよいでしょう。その際、情報処理安全確保支援士や中小企業診断士などの専門家に相談してみるのもよいでしょう。
<図表の出典について>
図表1,3,4は『中小企業の情報セキュリティ対策ガイドライン』をもとに筆者が作成。
図表2は https://www.ipa.go.jp/files/000055516.pdf のP2から転載
≪執筆者紹介≫
松井 貴憲(まつい たかのり)
中小企業診断士/応用情報技術者/2級ファイナンシャルプランニング技能士
実家の蕎麦屋を手伝った経験や和食・中華などの飲食店で働いた経験をもとに、食品製造・卸から飲食業や食品小売りまで「食」関連事業の支援を中心に行う。
とくに飲食業のIT化支援(ホームページの作成・改善、SNSの活用、業務効率化など)に熱心に取り組んでいる。