中小企業の情報セキュリティ対策ガイドライン第4.0版のSTEP4は、「より強固にするための方策」です。IPAは、STEP1〜3で進めてきた汎用的な対策や担当者の経験に基づく対策だけでは、企業ごとの事情によっては必要な対策が不足するおそれがあると説明しています。そのためSTEP4では、情報資産ごとに「資産価値」「脅威」「脆弱性」を識別する資産ベースのリスク分析を行い、各企業固有のリスクを把握したうえで、さらに対策を強化する流れになっています。
STEP4は、すべての会社が同じ対策を一気に追加する段階ではありません。自社の情報資産や業務の重要度を見極め、必要な技術的対策や外部サービス、ウェブサイト・クラウド・テレワークの運用、事故対応を、優先順位をつけて強化していく段階だと読むと実務に落とし込みやすくなります。これは、IPAがSTEP4を「資産ベースのリスク分析」と「分析結果に応じた対策の強化」として構成していることを踏まえた、本稿での整理です。
この記事でわかること
- STEP4が必要になる理由
- 資産ベースのリスク分析の進め方
- 技術的対策と外部サービスの使い分け
- ウェブサイト、クラウド、テレワークで押さえるべき点
- STEP4のインシデント対応の考え方
なぜSTEP4が必要なのか
IPAは、企業を取り巻くリスクは、事業内容、取り扱う情報、職場環境、ITの利用状況などによって異なると説明しています。つまり、STEP1の「情報セキュリティ6か条」やSTEP2・STEP3の組織的対策は土台として重要ですが、それだけで十分とは限りません。重要な顧客情報を持つ会社、ウェブサイトやECを運営する会社、クラウドやテレワークへの依存度が高い会社では、自社固有のリスクを見極めて、より踏み込んだ対策が必要になります。
STEP4の全体像
説明資料では、STEP4は「資産ベースのリスク分析を行い、各企業固有のリスクを把握し、その結果に応じて技術的対策をさらに強化する」段階として整理されています。扱うテーマは、(1)資産ベースのリスク分析、(2)技術的対策例と活用、(3)セキュリティサービス例と活用、(4)ウェブサイトの情報セキュリティ、(5)クラウドサービスの情報セキュリティ、(6)テレワークの情報セキュリティ、(7)セキュリティインシデント対応です。
資産ベースのリスク分析は何をするのか
IPAは、資産ベースのリスク分析を、情報資産ごとに「資産価値」「脅威」「脆弱性」を識別して対策を検討する方法だと説明しています。STEP4では、付録6「資産管理台帳(サンプル)」の「リスク値算定」シートを活用し、まず業務で使う電子データや書類を洗い出し、次に機密性・完全性・可用性を評価し、その値から重要度を算定していきます。重要度は、機密性・完全性・可用性のうち最大値で判断するとされています。
そのうえでIPAは、リスク値を「重要度 × 被害発生可能性」で算定するとしています。被害発生可能性は、「脅威の起こりやすさ」と「脆弱性のつけ込みやすさ」から算出します。リスク値が大きいものから優先的に対策を検討する、という考え方です。
対策の考え方も、IPAは4つに整理しています。自社で対策を導入・強化して事故の可能性を下げる「リスクを低減する」、受容できる範囲なら現状維持とする「リスクを保有する」、業務のやり方やシステム利用方法を変えてリスクそのものをなくす「リスクを回避する」、外部サービスや保険などを使って負担を下げる「リスクを移転する」という考え方です。つまりSTEP4は、高価な製品を買い足す話だけではなく、業務設計や利用方法の見直しも含めた段階です。
技術的対策は「自社のリスクに効くもの」から選ぶ
説明資料では、STEP4の技術的対策例として、①ネットワーク脅威対策、②コンテンツセキュリティ対策、③アクセス管理、④システムセキュリティ管理、⑤暗号化、⑥データの破棄、の6分野が示されています。全部を同時に導入するのではなく、資産ベースのリスク分析結果を見て、自社に必要なものを選ぶのが前提です。
本編では、具体例としてファイアウォール、IDS、IPS、UTM、EDR、WAF、VPN、アクセス制御、多要素認証、特権ID管理、IT資産管理、脆弱性検査、ログ管理、データ暗号化、通信暗号化、不要データの破棄などが紹介されています。たとえば、外部からの侵入や不正通信が気になる会社ならネットワーク境界対策、クラウドやテレワーク利用が多い会社なら多要素認証や端末対策、重要情報の持ち出しや漏えいが気になる会社なら暗号化やログ管理を優先して検討する、という見方が実務的です。
人手が足りない会社ほど、外部サービスをうまく使う
IPAは、STEP4でも必要に応じて外部専門家の知見を活用して進めるよう示しています。また「セキュリティサービス例と活用」では、外部サービスを利用することで、より強固で有効な対策を実施でき、情報セキュリティ人材が社内に不足している場合にも有用だと説明しています。
IPAが挙げている外部サービスの例は、情報セキュリティコンサルテーション、教育サービス、監査サービス、脆弱性診断サービス、デジタルフォレンジックサービス、セキュリティ監視・運用サービス、機器検証サービスです。さらに本編では、中小企業向けの支援制度として「サイバーセキュリティお助け隊サービス制度」や、サービス選定の参考になる「情報セキュリティサービス基準適合サービスリスト」も紹介されています。社内で全部抱え込まず、どこを外部に任せるかを決めることもSTEP4の一部です。
ウェブサイトは「運営形態」「構築」「運用」で考える
IPAは、多くの中小企業が自社ウェブサイトを開設している一方、世界中からアクセスできるため攻撃対象になりやすく、顧客情報の漏えいや不正サイトへの誘導などの改ざんによって、自社だけでなく利用者にも被害が及び得ると説明しています。そのためSTEP4では、ウェブサイトの情報セキュリティを「運営形態の検討」「構築」「運用」の3段階で考えるよう示しています。
運営形態についてIPAは、オンプレミス、レンタルサーバー・PaaS、ショッピングモール・ASPでは、費用も、自社が担う作業も、必要なセキュリティ対策も異なると説明しています。自社設置ならすべて自社で対策が必要で、PaaS等ならネットワークやサーバー部分は外部サービス側、ショッピングモールやASPなら認証情報の適切な管理が重要になります。つまり、まず「どの形で運営しているか」をはっきりさせないと、必要な対策も決まりません。
構築段階では、サーバーOSやソフトウェアへの脆弱性修正パッチ適用や安全な設定、独自開発するウェブアプリケーションへの脆弱性対策が求められます。運用段階では、ウェブアプリケーション、ウェブサーバー、ネットワーク、その他の対策を継続的に実施する必要があり、どれが欠けても安全性は確保できないとIPAは述べています。特にECサイトは、クレジットカード情報や個人情報の漏えい、偽入力画面による窃取などの被害が起きており、事故が起きると一時閉鎖、調査、謝罪、信頼低下まで含む大きな損失につながるとされています。
クラウドは便利でも、責任が消えるわけではない
IPAは、クラウドサービスには費用や手間の削減、テレワークで使いやすいといった利点がある一方、情報システムの一部が事業者の管理下に置かれるため、社内システムとは異なる観点でセキュリティ対策を講じる必要があると説明しています。STEP4では、クラウドサービスを「選定」「運用」「セキュリティ対策」の3段階で考えるよう示しています。
本編では、クラウドの形態としてSaaS、PaaS、IaaSを紹介し、このガイドでは主にSaaS利用を念頭に置いて説明しています。SaaSでは、サーバーやネットワークの対策は主にサービス提供者が担う一方、利用者側の役割と責任は、パソコンやスマートフォンなどの端末、ネットワーク機器、それらに入っているソフトウェアなど、自社で直接対策できる範囲に残るとされています。つまり、クラウドを使うと自社の責任がなくなるのではなく、「責任分界が変わる」と理解するのが正確です。
さらにIPAは、クラウドのセキュリティ対策として、事業者の対策を把握して自社の期待を満たすサービスを選ぶこと、そして利用者である自社の役割・責任を把握し、自社でしかできない対策を的確に実行することを求めています。詳細は付録7「中小企業のためのクラウドサービス安全利用の手引き」の15項目を参照するよう示されており、説明資料では、利用業務の明確化、情報の重要度、事業者の信頼性、SLA、管理担当者、利用者範囲、認証、バックアップ、付帯セキュリティ対策、サポート、利用終了時のデータ確保、適用法令・契約条件、データ保存先の所在地などを確認項目として挙げています。
テレワークは「方式ごとの違い」を見て決める
IPAは、テレワークはDX推進や多様な人材の柔軟な働き方、非常時の業務継続に有効だとしつつ、企業の管理下にない環境で業務を行うことや、個人所有端末の業務利用には従来と異なるリスクがあるため、セキュリティ対策の見直しが必要だと説明しています。STEP4では、テレワークも「方針検討」「セキュリティ対策」「運用」の3段階で考える構成です。
本編では、主なシステム方式として、VPN方式、リモートデスクトップ方式、スタンドアロン(持ち帰り)方式、クラウドサービス方式が挙げられています。方式によって費用、運用負荷、必要なセキュリティ対策が異なるため、自社に合った方式を選ぶ必要があります。たとえばVPNや持ち帰り方式では端末の紛失・盗難対策として暗号化や遠隔消去、リモートデスクトップでは社内端末からテレワーク端末へのデータコピー制限、クラウドサービス方式では通信暗号化や認証強化、端末対策、保存データの把握が重要だとIPAは示しています。
STEP4のインシデント対応は「被害最小化と早期復旧」が軸
STEP4の最後にIPAは、「セキュリティインシデント対応」を置いています。高度化するサイバー攻撃により、情報漏えい、改ざん、破壊・消失、システム停止、またはそれらにつながる可能性のある事象が増えており、重要情報を持つ会社や、大手企業を取引先に含む会社は自社が標的になる場合もあると説明しています。そのため、情報セキュリティでも事業継続の観点から、被害を最小化し、早期復旧するための備えが必要だとしています。
STEP4でも対応は3段階で整理されています。まず「検知・初動対応」では、兆候や発生を検知したら速やかに情報セキュリティ責任者へ報告し、必要に応じて経営者が体制を立ち上げ、ネットワーク遮断や隔離、サービス停止などで被害拡大を防ぎます。次の「報告・公表」では、二次被害が想定される場合の本人報告や、必要に応じたウェブサイト・メディアでの公表、問い合わせ窓口の設置などが示されています。最後の「復旧・再発防止」では、原因調査、修正プログラム適用、設定変更、機器入替、データ復元、外部専門家への支援依頼、証拠保全、根本原因分析、新たな技術的対策やルール・教育・体制整備まで含めて実施するとされています。詳細は付録8を参照するよう本編でも案内されています。
なお、IPA本文では、個人情報やマイナンバーの漏えいでは個人情報保護委員会、業法等で求められる場合は所管省庁、犯罪性がある場合は警察、ウイルス感染や不正アクセスはIPAへの届出先例が示されています。ただし、個別案件でどこへ、いつ、どの内容で報告すべきかは事案により異なるため、実際には所管法令や専門家確認が必要です。前半はIPA本文、後半は本稿での注意喚起です。
付録1・7・8をどうつなげるか
ここからは本稿の実務向け整理です。STEP4に関係が深い付録は、役割で分けると理解しやすくなります。付録1は人材確保・育成の補助、付録7はクラウド利用時の確認、付録8は事故対応の行動整理です。紹介ページでも、付録1、付録7、付録8が本編とあわせて公開されており、関連資料としてクラウドとインシデント対応の説明資料も用意されています。
実務上は、まず付録6で重要資産を洗い出してSTEP4の入口に立ち、クラウドを使うなら付録7、事故対応を詰めるなら付録8、人手が足りないなら付録1や外部サービスの活用を検討する、という順番にすると動きやすくなります。これは、IPAのSTEP4構成と付録の役割を踏まえた本稿の整理です。
社長が今日決めるべき3つ
ここからは本稿の実務向け整理です。第8回の段階で社長が決めたいのは、まずどの情報資産と業務から資産ベースのリスク分析を始めるかです。IPAは、付録6を使って情報資産を洗い出し、機密性・完全性・可用性を評価し、重要度とリスク値を算定して優先順位を付ける考え方を示しています。全部を同時に分析するより、売上・顧客・法的責任に直結する資産から始めるほうが現実的です。
次に決めたいのは、どこを自社で強化し、どこを外部サービスに任せるかです。IPAは、外部サービスの活用を、人材不足の会社でもより強固で有効な対策を実施する手段として位置付けています。脆弱性診断、監視運用、教育、フォレンジックまで全部を社内で抱える必要はありません。
最後に、ウェブサイト、クラウド、テレワークのうち、自社でどれを重点管理対象にするかを決めます。これらはSTEP4で独立した章があるテーマで、運営形態や責任分界、利用方式によって必要な対策が変わります。ここを曖昧にしたままでは、技術対策もルール整備も散漫になりやすいからです。
まとめ
中小企業の情報セキュリティ対策ガイドライン第4.0版のSTEP4は、単に対策を増やす段階ではありません。資産ベースのリスク分析で自社固有のリスクを見極め、その結果に応じて、技術的対策、外部サービス、ウェブサイト、クラウド、テレワーク、インシデント対応を強化していく段階です。IPA本文を読むと、「全部やる」ではなく「自社に効くものを選んで強くする」がSTEP4の本質だと分かります。
この連載では、第1部で経営者の責任と3原則・重要7項目を整理し、第2部でSTEP1からSTEP4まで、6か条、自社診断、基本方針、規程、資産管理、委託先管理、事故対応まで見てきました。最後は、自社で来月やる3つを決めることです。まず何を守るのか、誰が見るのか、どこを強化するのか。この3つが決まれば、ガイドラインは“読む資料”ではなく“動かす資料”になります。
