中小企業の情報セキュリティ対策ガイドライン第4.0版のSTEP2は、「組織的な取り組みを開始する」段階です。IPAはここで、基本的なセキュリティ対策を組織として進めるために、自社の弱みを把握し、基本的対策を決定すると説明しています。具体的には、「情報セキュリティ基本方針の作成と周知」「実施状況の把握」「対策の決定と周知」の3つで構成されています。
STEP1の「情報セキュリティ6か条」が“まずやる最低限の対策”だとすれば、STEP2はそれを“会社の取り組み”に変える段階です。社長が方針を出し、担当者が現状を診断し、決めたルールを従業員に伝える。第5回では、この流れを付録2・3・4の使い分けも含めて整理します。
この記事でわかること
- STEP2でやる3つのこと
- 付録2・3・4の役割の違い
- 25項目の自社診断の見方
- SECURITY ACTION二つ星との関係
なぜSTEP2が必要なのか
IPAは、STEP1の6か条を企業規模にかかわらず必ず実行すべき重要な対策だとしたうえで、STEP2では「自社の弱みを把握し、基本的対策を決定する」としています。つまり、STEP1で始めた対策を、担当者個人の頑張りで終わらせず、方針・診断・周知の3点で組織化するのがSTEP2の役割です。
STEP2でやることは3つ
1. 情報セキュリティ基本方針を作成し、周知する
IPAは、経営者が定めた情報セキュリティに関する基本方針を、従業員や関係者に伝えるために簡潔な文書を作るよう案内しています。基本方針には決まった書き方はなく、付録2「情報セキュリティ基本方針(サンプル)」を参考に、事業の特徴や顧客の期待などを考慮しながら、自社に合った内容を作成するとされています。作成した文書は、従業員や顧客などの関係者に周知することも求められています。
付録2は、紹介ページでは全1ページのWordサンプルとして提供されています。SECURITY ACTIONの説明でも、必要な項目を自社事情に応じて書き換えるだけで自社の「情報セキュリティ基本方針」を作成できると案内されています。
本編では、基本方針の記載項目例として「管理体制の整備」「法令・ガイドライン等の順守」「セキュリティ対策の実施」「継続的改善」などが示されています。ゼロから難しい文書を書くというより、まずはこの骨子に沿って、自社として何を守るのかを明文化するイメージで十分です。
2. 5分でできる自社診断で、実施状況を把握する
STEP2の2つ目は、付録3「5分でできる!情報セキュリティ自社診断」を使って、いま何ができていて、何ができていないかを把握することです。IPAはこれを、単なる確認作業ではなく、現状の対策状況を客観的に可視化し、「今すぐ改善すべき点」や「優先順位の高い対策」を導くためのものだと説明しています。さらに、定期的に活用することで最新の状態を保ち、変化するリスクに対応できるとしています。
自社診断は25項目の設問に答えるだけで実施状況を把握できるツールです。記入するのは、経営者や情報セキュリティ担当者、部門長など、実施状況が分かる人とされています。事業所や部署が複数ある場合は、それぞれで記入して責任者・担当者が集計し、分からない項目がある場合は従業員に確認して総合的に記入する流れです。採点は「実施している=4点」「一部実施している=2点」「実施していない=0点」「わからない=-1点」です。
説明資料では、この25項目は「基本的対策6項目」「従業員としての対策11項目」「組織としての対策8項目」に分かれると示されています。紹介ページでは付録3は全8ページで公開されています。
第4.0版では自社診断の項目も見直されており、IPAは改訂点として、内部ネットワークへの不要な通信の遮断や、ウェブサイトを安全に運用する視点を新たに加えるなどしたと説明しています。実際に表4には、「内部ネットワークを守るため、不正アクセス対策機能を設定していますか」「ウェブサイトで公開すべきでない情報を公開していませんか」といった設問が入っています。
3. 診断結果をもとに対策を決め、社内へ周知する
STEP2の3つ目は、診断して終わりにせず、結果をもとに対策を決めて従業員へ周知することです。IPAは、「5分でできる!情報セキュリティ自社診断」の解説編を参考に、実行すべき対策を検討するとしています。そこには、あまり費用をかけず、効果があると考えられる対策例も示されており、診断項目ごとに想定される被害や防止策を見ながら検討する流れです。対策の検討と決定は、責任者・担当者と経営者が行い、必要に応じて従業員の意見も聞き、職場環境や業務に適した内容にするとされています。
対策が決まったら、付録4「情報セキュリティハンドブック(ひな形)」を使って、従業員が実行すべき事項を周知します。IPAは、このハンドブックを自社診断の対策例と連動したひな形だと説明しており、例文を編集して自社ルールを明文化し、完成したハンドブックを全従業員に配付し、必要に応じて説明の機会を設けるよう示しています。紹介ページでは付録4は全17ページで提供されています。
付録2・3・4はどう使い分ければよいのか
ここからは本稿での整理です。STEP2の付録は、役割で分けると理解しやすくなります。
付録2は、会社としての約束や考え方を書く文書です。
付録3は、いまの実施状況を見える化する診断票です。
付録4は、従業員が日々守るルールに落とし込むための文書です。
この3つを順番に使うことで、「社長の方針」→「現状把握」→「社内ルール化」という流れができあがります。これは、IPAがSTEP2を「基本方針の作成と周知」「実施状況の把握」「対策の決定と周知」として構成していることに沿った整理です。
自社診断ではどこを重点的に見るべきか
IPAは、自社診断を使って「今すぐ改善すべき点」や「優先順位の高い対策」を導くと説明しています。また、採点では「わからない」が-1点で、合計点とあわせて「わからない」項目も把握する仕組みになっています。したがって本稿では、点数の低い項目だけでなく、“わからない”になった項目も優先して確認することをおすすめします。現状が把握できていない領域は、管理の空白になりやすいからです。
実務上の優先候補として見やすいのは、たとえば「バックアップ」(5)、「外部サービスの安全・信頼性の把握」(23)、「緊急時の体制整備や対応手順」(24)、「ルール化と従業員への明示」(25)です。これらは、データ保全、クラウドや委託先の管理、事故対応、文書化という、STEP3以降にもつながる論点だからです。さらに第4.0版では、「内部ネットワークを守るための不正アクセス対策機能」(18)や「ウェブサイトで公開すべきでない情報」(19)も加わっており、ネットワーク境界やウェブ運用の視点も見逃せません。ここは設問内容と後続STEPの構成を踏まえた、本稿での整理です。
SECURITY ACTION二つ星とどうつながるのか
IPAのSECURITY ACTIONでは、二つ星は「5分でできる!情報セキュリティ自社診断」と「情報セキュリティ基本方針」を策定し、外部公開したうえで、情報セキュリティ対策に取り組むことを宣言するものとされています。外部公開の方法は、自社ウェブサイトへの掲載、会社案内やパンフレットへの掲載、その他の方法から選べると案内されています。
つまりSTEP2は、「社内のための組織化」であると同時に、「社外へ自社の取り組みを示す」段階でもあります。取引先や顧客への説明材料を整えたい会社にとっては、ここが最初の大きな節目です。
社長が今日決めるべき3つ
ここからは本稿の実務向け整理です。STEP2の段階で社長が決めたいのは、次の3つです。
- 情報セキュリティ基本方針のたたき台を誰が作るか
付録2を使って下書きを作る担当者と、最終的に承認する社長を決めます。基本方針は従業員や関係者に周知する前提なので、作成者だけ決めて止めないことが大切です。 - 自社診断を誰が記入し、いつ集計するか
兼務担当者1人で埋めるのか、部署ごとに回収するのかを決めます。実施状況が分からない項目は従業員に確認して総合記入する形なので、締切と回収方法まで決めると進みやすくなります。 - 決めた対策をどう社内へ周知するか
付録4を編集して配るだけで済ませるのか、短い説明会を開くのかまで決めます。外部への見せ方まで考えるなら、基本方針をどこで公開するかもこの段階で決めておくとよいでしょう。
まとめ
中小企業の情報セキュリティ対策ガイドライン第4.0版のSTEP2は、6か条を“会社の仕組み”に変える段階です。IPAはここで、基本方針を作成して周知し、自社診断で実施状況を把握し、必要な対策を決めてハンドブックで社内へ徹底する流れを示しています。付録2・3・4を順番に使うと、社長の方針、現状把握、従業員ルールの3層がそろいます。
次回は、STEP3「本格的に取り組む」に進みます。情報セキュリティ基本方針の文書化、体制整備、規程作成、資産管理まで、より実務寄りの段階を整理します。
