中小企業の情報セキュリティ対策ガイドライン第4.0版の第2部「実践編」は、STEP1「できるところから始める」から始まります。IPAは、業種や扱う情報、企業規模によって必要な対策は異なる一方で、共通する基本的な対策もあるとして、まずは「情報セキュリティ6か条」から始めるよう案内しています。第4.0版では、従来の5か条に「バックアップを取ろう!」が加わり、6か条になりました。
説明資料では、STEP1は「必要最低限の対策」から始める段階として整理されており、STEP1の6項目は、規模や業種を問わず共通する基本的な対策とされています。つまり、この回で扱う6か条は、零細企業でも兼務担当者の会社でも、まず着手すべき出発点だといえます。
この記事でわかること
- STEP1「情報セキュリティ6か条」がなぜ最初なのか
- 6か条それぞれで何をすべきか
- 零細企業でも回しやすい進め方
- STEP2へどうつなげるか
なぜSTEP1から始めるのか
IPAは、情報セキュリティ6か条について、共通する基本的な対策をまとめたものであり、「必ず実行しましょう」と説明しています。第4.0版の本編でも、第2部実践編の最初に6か条が置かれており、説明資料でもSTEP1は「自社の業務・情報・従業員・取引先を守る必要最低限の対策から始めます」と整理されています。
また、説明資料では、STEP1の6か条は「SECURITY ACTION」の一つ星に対応する、規模や業種を問わず共通する基本的な対策6項目として位置付けられています。対外的な自己宣言の話を抜きにしても、「まずこの6つが土台になる」という理解で問題ありません。
情報セキュリティ6か条を1つずつ読む
1. OSやソフトウェアは常に最新の状態にしよう!
IPAは、OSやソフトウェアを古いまま放置すると、セキュリティ上の問題点が解決されず、それを悪用したウイルスに感染する危険があると説明しています。そのため、修正プログラムを適用するか、最新版を利用するよう求めています。
対策例としてIPAが示しているのは、Windows UpdateやmacOSのソフトウェアアップデートなどベンダ提供の更新機能を実行すること、利用中のソフトウェアを最新版にすること、脆弱性が見つかった場合に修正パッチを適用すること、そしてサポートがあるOS・ソフトウェア・ネットワーク機器を使うことです。社長目線では、「古いまま使い続ける機器を残さない」と決めることが最初の一歩です。
2. ウイルス対策ソフトを導入しよう!
IPAは、ID・パスワードの窃取、遠隔操作、ファイルの暗号化を行うウイルスが増えているとして、ウイルス対策ソフトを導入し、ウイルス定義ファイルを常に最新の状態にするよう求めています。
本編の対策例では、ウイルス定義ファイルが自動更新されるよう設定すること、統合型のセキュリティ対策ソフトの導入を検討すること、OSやアプリケーションに標準搭載されているセキュリティ機能を有効活用することなどが挙げられています。中小企業では「入れているだけ」で安心せず、更新が止まっていないかを確認する運用まで含めて考えるべきです。
3. パスワードを強化しよう!
IPAは、パスワードの推測や解析、あるいはウェブサービスから流出したID・パスワードの悪用によって、不正ログイン被害が増えていると説明しています。そのため、パスワードは「長く」「複雑に」「使い回さない」ようにして強化するよう求めています。
さらに対策例では、初期設定パスワードの変更、10文字以上でできるだけ長くすること、大小英字・数字・記号を含めて複雑にすること、氏名・電話番号・誕生日・簡単な英単語など推測されやすい情報を使わないこと、複数サービスで使い回さないことが示されています。VPNや重要なシステムでは、多段階認証、多要素認証、パスキーなど認証強化機能の利用も挙げられています。
4. 共有設定を見直そう!
IPAは、データ保管用のウェブサービスや、ネットワーク接続した複合機の設定ミスによって、無関係な人に情報を覗き見られるトラブルが増えていると説明しています。そのため、無関係な人がウェブサービスや機器を使える設定になっていないか確認するよう求めています。
対策例としては、クラウドサービスやNAS、ネットワーク接続機器などの共有範囲を限定すること、従業員の異動や退職時には速やかに設定を変更・削除すること、パソコンを他者と共有しないこと、やむを得ず共有する場合は別ユーザーを作成すること、外出先でフリーWi‑Fiを使うときにはファイル共有をオフにすることなどが示されています。ここは「設定したら終わり」ではなく、人の異動や機器の入れ替えのたびに見直す運用が必要です。
5. バックアップを取ろう!
第4.0版では、「バックアップを取ろう!」が新たに追加されました。IPAは、故障や誤操作、ウイルス感染などによって、パソコンやサーバー内のデータが消えたり暗号化されたりすることがあるため、事業継続できるようバックアップを取得しておくべきだと説明しています。SECURITY ACTION関連の案内でも、バックアップ追加の理由として、ランサムウェア対策とBCPの観点から重要であることが挙げられています。
本編の対策例では、重要情報のバックアップを定期的に取ること、バックアップ装置や媒体はバックアップ時のみパソコンと接続すること、取得方法を決めること、バックアップデータを安全な場所に保管すること、そして戻せるかどうかを定期的に確認することが示されています。中小企業では「取っているつもり」で終わりやすいので、復元確認までやって初めてバックアップと考えるのが安全です。
6. 脅威や攻撃の手口を知ろう!
IPAは、取引先や関係者を装ったウイルス付きメールや、正規サイトに似せた偽サイトでID・パスワードを盗もうとする巧妙な手口が増えていると説明し、脅威や攻撃の手口を知って対策を取るよう求めています。
対策例としては、IPAやNCOなどのセキュリティ専門機関のウェブサイトやメールマガジンで最新の手口を知ること、利用中のインターネットバンキングやクラウドサービスの注意喚起を確認すること、管理者が従業員へ適宜注意喚起し、従業員は懸念を速やかに報告することが示されています。つまりこの項目は、「ニュースを読む」だけでなく、「社内共有する」まで含めて考える必要があります。
6か条を社内で回すにはどうすればよいか
ここからは本稿の実務向け整理です。零細企業や兼務担当者の会社では、6か条をいきなり完璧に回そうとすると止まりやすくなります。そこで、まずは「更新」「ウイルス対策」「バックアップ」は担当者の定期確認項目にし、「パスワード」「共有設定」「脅威把握」は社内ルールと注意喚起に落とす、という二層に分けると進めやすくなります。
社長がやることは、細かな設定を全部自分で触ることではありません。何を優先するかを決め、担当者を決め、確認のタイミングを決めることです。たとえば、月1回の確認項目に「更新が止まっていないか」「バックアップが取れているか」「退職者のアカウント削除が終わっているか」を入れるだけでも、6か条はかなり動きます。
6か条だけでは足りない理由
IPAの構成では、STEP1の次にSTEP2「組織的な取り組みを開始する」が続きます。そこでは、経営者が定めた情報セキュリティに関する基本方針を、従業員や関係者に伝えるための簡潔な文書を作成・周知すること、付録2のサンプルを編集して策定することが案内されています。
さらにSTEP2では、付録3「5分でできる!情報セキュリティ自社診断」を活用し、25項目の設問で自社の問題点を把握する流れになっています。説明資料では、この25項目は「基本的対策6項目」「従業員としての対策11項目」「組織としての対策8項目」に分かれると示されています。つまり、6か条はスタート地点ですが、次は方針の文書化と自社診断へ進む必要があります。
社長が今日決めるべき3つ
ここからは本稿の実務向け整理です。第4回の段階で社長が決めたいのは、まず「どの機器とデータを必ず守るか」です。次に、「更新・ウイルス対策・バックアップを誰が確認するか」です。最後に、「退職者や異動者が出たとき、共有設定やアカウントを誰が見直すか」です。この3つが決まると、6か条はただの標語ではなく、日々の運用に落ちやすくなります。
まとめ
中小企業の情報セキュリティ対策ガイドライン第4.0版のSTEP1は、できるところから始めるための入口です。IPAは、情報セキュリティ6か条を共通する基本的な対策として示し、必ず実行するよう求めています。OS更新、ウイルス対策、パスワード、共有設定、バックアップ、脅威把握は、どれも難しい高度対策ではなく、まず崩してはいけない土台です。
次回は、STEP2「組織的な取り組みを開始する」に進みます。情報セキュリティ基本方針、5分でできる自社診断、ハンドブックの使い分けを整理し、6か条を“会社のルール”にしていく流れを見ていきます。
