これから始める情報セキュリティ対策:会社の安全を守る5つのステップ
みなさまの会社の「情報セキュリティ対策」はどの程度進んでいるのでしょうか?
筆者は、これから本格的な情報セキュリティ対策に取り組みたいという会社への支援を行っています。当然ですが、既に対策を取っているが、さらに上を目指したい(例えばISO27001認証取得など)という会社への支援も行っています。
今回は、これから本格的に情報セキュリティ対策に取り組みたいと考えている会社向けにポイントをいくつかご説明したいと考えています。
工程は次の通りです。
1.社内で情報セキュリティ推進体制の構築
2.情報セキュリティのリスクアセスメント実施
3.リスク対策を考慮した必要最小限の規程整備
4.規程の内容に沿った情報セキュリティ教育の実施
5.SECURITY ACTIONの★宣言
1.社内で情報セキュリティ推進体制の構築
ポイントはトップダウンで経営者が情報セキュリティの構築を宣言し、情報セキュリティ構築が会社のトッププライオリティの施策であることを全社員に周知することが必要です。さらに経営者は、情報セキュリティ推進体制を整備するとともに、情報セキュリティ方針を策定します。情報セキュリティ方針は、自社で構築する情報セキュリティの礎となるため非常に重要です。
また、小規模の会社では、情報セキュリティ推進メンバーは本業との兼任となるため、役割・責任を明確にする必要があります。
2.情報セキュリティのリスクアセスメント実施
情報セキュリティ推進体制の整備が完了したら、次は情報セキュリティのリスクアセスメントを実施します。リスクアセスメントの実施手順等については別のコラムで詳しく説明していますので、そちらをご覧ください。
ポイントは、リスクアセスメントの後に実施するリスク対策です。
こちらも別のコラムで詳しく説明していますが、リスクアセスメントの結果、「リスク低減」すると判断したリスクに対する会社として実現可能な対応策を取ることです。
有識者を入れるなどして、洗い出されたリスクに対して、自社で対応可能などういう対策が一番有効かを判断して決めます。
3.リスク対策を考慮した必要最小限の規程整備
リスク対策で決めた対策を中心に、他に必要とされる対策をとりまとめ情報セキュリティの規程を整備します。最初から完成度の高いものを目指さず、規程とは言っても情報セキュリティ対策としての行動指針のようなものでも良いと思います。
規程というものは作って終わりではなく、会社の事業に変化が起こった都度、新しいリスクへの対策として見直すものです。小さく作って大きく育てるという感覚が取り組みやすいと思います。
4.規程の内容に沿った情報セキュリティ教育の実施
規程を整備したら、従業員がそれを守るために周知しなければなりません。周知の方法として、全従業員を対象とした情報セキュリティの研修を開催することが有益です。実施方式は対面式、e-ラーニング方式いずれでも構いませんが、可能であれば対面式の方がより効果は高いので良いです。内容は、規程で制定した事項プラス世の中の情報セキュリティの状況(例えばネットニュースからピックアップした最近のサイバー攻撃の事例紹介等)があると良いでしょう。時間にして30分から1時間程度が一般的です。
情報セキュリティの研修だけでは従業員が必要な事項を理解しているか判断できないので、理解度確認テストの実施や、情報セキュリティ研修のアンケート(理解度、良かった/悪かった点、今後の要望など)を実施し、従業員の理解状況の把握や次回からの情報セキュリティ研修の改善点などの情報を収取することが有益です。
5.SECURITY ACTIONの★宣言
通常であれば4まで実施すれば基本的な情報セキュリティ対策は完了ですが、このコラムではさらに一歩進んだ対策をご紹介します。
それは、IPA(情報処理推進機構)が公表している「SECURITY ACTION」の宣言です。これはIPAが認定するものではなく、自社で情報セキュリティ対策を行っていることを広く宣言するものです。所定の手続きに従って宣言することで、IPAのホームページに宣言した企業として登録されます。宣言は2種類あり、初級として★一つ、上級として★二つの宣言が可能です。2024年5月中旬時点で、★一つは全国に約30万社、★二つは全国に約3万社あります。★を取得することで、IT導入補助金の申請も可能です。
※詳細はIPAのホームページをご覧ください
ただ、中身が伴っていない「SECURITY ACTION」宣言は他社への欺きで倫理上良くないので、必ず中身が伴った宣言をしていただきたいと思います。