5月は、SECURITY ACTIONやSCS評価制度を「知る」だけでなく、実際に社内で使える記録を作ることをテーマにしてきました。
SaaS・クラウド台帳を作る。
退職者・異動者のアカウントを棚卸する。
委託先に渡している個人情報を確認する。
漏えい等が疑われたときの初動を整理する。
ランサムウェア対応の連絡網を作る。
ビジネスメール詐欺を防ぐ振込先変更確認票を用意する。
生成AI利用ルールを作る。
バックアップの復元テスト記録を残す。
ここまで整理すると、次に必要になるのは、月末に全体を確認する仕組みです。
個別の台帳やチェックリストを作っても、見直されなければ意味がありません。
そこでこの記事では、5月に作った記録を、社長や情報セキュリティ責任者が確認しやすい**「月末点検表」**として1枚にまとめる方法を解説します。
なお、この記事でいう「月末点検表」は、公的制度上の正式名称ではありません。中小企業が情報セキュリティ対策の実施状況を確認し、取引先や社内に説明しやすくするための実務上の整理です。
なぜ月末点検が必要なのか
セキュリティ対策でよくある失敗は、「作って終わり」です。
情報セキュリティ基本方針を作った。
台帳を作った。
チェックリストを作った。
連絡網を作った。
バックアップも設定した。
しかし、次のような状態になっていないでしょうか。
「新しく使い始めたクラウドサービスが台帳に入っていない」
「退職者のアカウントが一部残っている」
「委託先の事故時連絡先が古い」
「バックアップは取っているが、復元テストをしていない」
「生成AIの利用ルールを作ったが、誰が使っているか分からない」
「ランサムウェア対応連絡網が社内共有フォルダにしかなく、非常時に見られない」
このような状態を防ぐには、月に1回、短時間でもよいので、主要な記録を確認する必要があります。
IPAの「中小企業の情報セキュリティ対策ガイドライン第4.0版」では、付録として情報セキュリティ基本方針、5分でできる自社診断、情報セキュリティ関連規程、資産管理台帳、クラウドサービス安全利用の手引き、セキュリティインシデント対応の手引きなどが用意されています。つまり、中小企業でも、方針・台帳・規程・クラウド確認・インシデント対応を組み合わせて管理することが想定されています。
月末点検表は、これらの資料や社内記録をバラバラにせず、経営者が確認できる形にまとめるためのものです。
SECURITY ACTIONやSCSにもつながる「説明できる状態」
SECURITY ACTIONは、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度です。一つ星では情報セキュリティ6か条への取組み、二つ星では自社診断と情報セキュリティ基本方針の策定・外部公開が求められます。また、IPAはSECURITY ACTIONについて、「認定を受けました」「取得しました」ではなく、「宣言しました」と表現するよう注意喚起しています。
つまり、SECURITY ACTIONは「宣言したら終わり」ではありません。
宣言した内容を、社内で継続的に確認することが重要です。
SCS評価制度についても、IPAは、2社間の取引契約等において、委託元が委託先に適切な段階を提示し、示された対策を促すとともに実施状況を確認することを想定しています。
また、経済産業省は、SCS評価制度について、個社間の商取引を規制するものではなく、評価基準達成に特定のセキュリティ製品の導入が必須とされているものでもないと注意喚起しています。
したがって、中小企業がまず取り組むべきことは、「不安だから何か製品を入れる」ことではありません。
自社の対策状況を整理し、確認し、改善し、説明できる状態にすることです。
月末点検表の目的
月末点検表の目的は、細かい技術情報をすべて載せることではありません。
目的は、次の4つです。
| 目的 | 内容 |
|---|---|
| 全体把握 | 今月、何を確認し、どこに未対応があるかを把握する |
| 経営判断 | 代表者や責任者が、優先すべき対応を決める |
| 証跡整理 | 台帳、チェックリスト、復元テスト、教育記録を参照できるようにする |
| 次月改善 | 未対応事項に担当者と期限を設定する |
月末点検表は、詳しい台帳の代わりではありません。
詳しい台帳を見る前に、全体を確認するための「表紙」のようなものです。
1枚にまとめるべき10項目
月末点検表には、5月に扱ったテーマを10項目にまとめます。
- 情報セキュリティ基本方針・自社診断
- SaaS・クラウド台帳
- 退職者・異動者アカウント棚卸
- 委託先・外部サービス管理
- 個人情報漏えい等対応
- ランサムウェア連絡網
- ビジネスメール詐欺対策
- 生成AI利用管理
- バックアップ・復元テスト
- 未対応事項・次月改善
この10項目を月末に確認すれば、制度対応、日常運用、事故対応、復旧、取引先説明の主要部分を一通り見ることができます。
月末点検表のサンプル
以下は、中小企業向けの月末点検表の例です。
| No | 点検項目 | 今月の確認内容 | 状態 | 証跡・参照資料 | 担当者 | 次回対応 |
|---|---|---|---|---|---|---|
| 1 | 基本方針・自社診断 | 方針の変更有無、自社診断の改善項目 | OK | 基本方針、自社診断結果 | 代表 | 6月見直し |
| 2 | SaaS・クラウド台帳 | 新規サービス、管理者、MFA、ログ | 注意 | SaaS台帳 | 総務 | 未確認サービス1件 |
| 3 | アカウント棚卸 | 退職者、異動者、外部協力者 | OK | 棚卸表、権限一覧 | 総務 | 月次継続 |
| 4 | 委託先管理 | 個人情報を渡す委託先、契約、再委託 | 注意 | 委託先台帳 | 管理担当 | 削除証跡確認 |
| 5 | 漏えい等対応 | 連絡先、初動チェック、PPC報告判断表 | OK | 事故対応手順 | 個人情報責任者 | 半年後訓練 |
| 6 | ランサムウェア連絡網 | 社内、保守会社、警察、IPA等の連絡先 | 要対応 | 緊急連絡網 | システム担当 | 紙で保管 |
| 7 | 振込先変更対策 | 確認票、二重承認、経理教育 | OK | 振込先変更確認票 | 経理 | 取引先台帳更新 |
| 8 | 生成AI利用管理 | 利用サービス、入力禁止情報、承認 | 注意 | AI利用台帳 | AI利用責任者 | 個人利用確認 |
| 9 | バックアップ・復元 | 復元テスト、世代管理、復元時間 | 要対応 | 復元テスト記録 | 総務・保守会社 | 顧客一覧を追加 |
| 10 | 未対応事項 | 今月の残課題、担当者、期限 | 要対応 | 課題管理表 | 代表 | 6月第1週確認 |
状態は、最初は「OK」「注意」「要対応」の3段階で十分です。
| 状態 | 意味 |
|---|---|
| OK | 今月確認済み。大きな未対応なし |
| 注意 | 一部未確認・軽微な改善あり |
| 要対応 | 期限を決めて対応すべき課題あり |
重要なのは、すべてを「OK」にすることではありません。
「注意」「要対応」を見つけ、担当者と期限を決めることです。
経営者向けの1枚サマリー
月末点検表の上部には、経営者向けのサマリーを置くと分かりやすくなります。
| 項目 | 記入例 |
|---|---|
| 点検月 | 2026年5月 |
| 点検日 | 2026年5月29日 |
| 点検責任者 | 代表者または情報セキュリティ責任者 |
| 今月の総合評価 | 注意 |
| 今月の主な改善 | SaaS台帳作成、退職者棚卸実施、振込先変更確認票作成 |
| 今月の主な未対応 | ランサムウェア連絡網の紙保管、顧客一覧の復元テスト未実施 |
| 重大リスク | バックアップ対象漏れの可能性 |
| 次月の重点対応 | 復元テスト、委託先削除証跡、生成AI利用者確認 |
| 経営判断が必要な事項 | バックアップサービス追加、MFA対象拡大、保守契約見直し |
この欄があると、経営者が細かい台帳をすべて読まなくても、今月の状態を把握できます。
1. 基本方針・自社診断の確認
最初に確認するのは、情報セキュリティ基本方針と自社診断です。
確認項目は次のとおりです。
| 確認項目 | 内容 |
|---|---|
| 基本方針 | 現在の業務内容と合っているか |
| 公開状況 | Webサイト等で外部公開しているか |
| 承認者 | 代表者または責任者が確認しているか |
| 自社診断 | 前回診断結果から改善が進んでいるか |
| 改善項目 | 未対応項目に担当者と期限があるか |
SECURITY ACTION二つ星では、「5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、情報セキュリティ基本方針を定め、外部に公開することが求められています。
月末点検では、基本方針を毎月作り直す必要はありません。
ただし、事業内容、利用クラウド、委託先、個人情報の取扱いが大きく変わった場合は、見直しが必要です。
2. SaaS・クラウド台帳の確認
次に、SaaS・クラウド台帳を確認します。
5月の記事では、利用サービス、管理責任者、保存情報、MFA、ログ、バックアップ、解約時のデータ取得などを整理しました。
月末点検では、次の項目を見ます。
| 確認項目 | 内容 |
|---|---|
| 新規サービス | 今月使い始めたSaaSやクラウドが台帳に入っているか |
| 管理者 | 管理者アカウントが誰か分かるか |
| MFA | 重要サービスで多要素認証が有効か |
| 保存情報 | 顧客情報、従業員情報、請求情報が入っているか |
| ログ | 不審ログイン確認ができるか |
| バックアップ | エクスポートや復元方法が分かるか |
| 解約時 | データ取得・削除方法が分かるか |
IPAの中小企業向けガイドラインでは、資産管理台帳のサンプルやクラウドサービス安全利用の手引きが付録として用意されています。
台帳が古くなると、退職者対応、漏えい等対応、ランサムウェア対応、バックアップ確認のすべてに影響します。
月末点検では、特に「新しく使い始めたサービス」と「管理者不明のサービス」を重点的に確認しましょう。
3. 退職者・異動者アカウント棚卸の確認
退職者・異動者のアカウント棚卸は、月末点検で必ず確認したい項目です。
確認対象は、正社員だけではありません。
パート、アルバイト、派遣社員、業務委託、外部協力者、制作会社、保守会社、税理士・社労士なども対象にします。
| 確認項目 | 内容 |
|---|---|
| 退職者 | 当月退職者のメール、SaaS、VPN、共有フォルダを停止したか |
| 異動者 | 前部署の権限が残っていないか |
| 外部協力者 | 契約終了者のゲスト権限が残っていないか |
| 管理者権限 | 不要な管理者権限が残っていないか |
| 共有ID | パスワード変更や利用者更新をしたか |
| 証跡 | 権限削除日、担当者、対象システムを記録したか |
ここで見るべきなのは、「処理したつもり」ではなく、記録があるかです。
管理画面の権限一覧、削除ログ、作業メモ、チェックリストなど、後から説明できる証跡を残しましょう。
4. 委託先・外部サービス管理の確認
個人情報を委託先に渡している場合、月末点検では委託先台帳を確認します。
| 確認項目 | 内容 |
|---|---|
| 委託先一覧 | 個人情報を渡している委託先が一覧化されているか |
| 渡している情報 | 氏名、住所、給与、予約情報、顧客情報など |
| 契約書・覚書 | 秘密保持、安全管理、再委託、事故時報告があるか |
| 再委託 | 再委託の有無、承認・報告ルールがあるか |
| 事故時連絡先 | 担当者、電話、メールが最新か |
| 終了時処理 | 返却、削除、削除証跡を確認しているか |
個人情報を外部に渡す場合、契約前だけでなく、運用中・終了時の確認が重要です。
特に契約終了時は、データ、バックアップ、共有リンク、ゲストアカウント、API連携が残りやすいため、月末点検で確認します。
5. 個人情報漏えい等対応の確認
個人情報の漏えい等が疑われた場合に備えて、初動対応の準備も月末に確認します。
個人情報保護委員会は、報告が必要な事案の例として、不正アクセスにより個人データが漏えいした場合、ランサムウェア等により個人データが暗号化され復元できなくなった場合、個人データが記録された書類・媒体等が盗難された場合、Webサイト改ざんで入力情報が第三者に送信された場合、1,000人超の個人データが関係する場合などを示しています。
月末点検では、次の項目を確認します。
| 確認項目 | 内容 |
|---|---|
| 第一報窓口 | 社内で誰に報告するか決まっているか |
| 初動チェック | 誤送信、紛失、不正アクセス、ランサムウェアの確認項目があるか |
| PPC報告判断 | 要配慮個人情報、財産的被害、不正目的、1,000人超を確認できるか |
| 本人通知 | 通知文ひな形、問い合わせ窓口があるか |
| 委託先事故 | 委託先からの連絡ルールがあるか |
| 時系列記録 | 発覚、対応、連絡、判断を記録する様式があるか |
事故は起きてから準備しても間に合いません。
月末点検では、「今事故が起きたら、誰が何をするか」を確認します。
6. ランサムウェア連絡網の確認
ランサムウェア対応では、連絡網が非常に重要です。
確認項目は次のとおりです。
| 確認項目 | 内容 |
|---|---|
| 社内連絡 | 第一報受付者、対応責任者、記録担当が決まっているか |
| 技術連絡 | 保守会社、クラウド事業者、バックアップ担当の連絡先があるか |
| 業務連絡 | 顧客、取引先、委託元、委託先への連絡担当が決まっているか |
| 外部機関 | 警察、IPA、JPCERT/CC、PPC等の相談・報告先を整理しているか |
| 保管方法 | 連絡網を紙や別系統の場所にも保管しているか |
| 第一報文 | 顧客・取引先向けの第一報ひな形があるか |
注意すべき点は、連絡網を社内共有フォルダにだけ保存しないことです。
ランサムウェアで共有フォルダが開けない状況でも連絡できるように、紙、スマートフォン、別系統のクラウドなど複数の確認方法を用意します。
7. ビジネスメール詐欺対策の確認
ビジネスメール詐欺対策では、経理・総務・代表者の支払ルールを確認します。
| 確認項目 | 内容 |
|---|---|
| 振込先変更 | メールだけで承認しないルールがあるか |
| 電話確認 | メール本文ではなく、取引先台帳や名刺の連絡先で確認しているか |
| 二重承認 | 高額支払、海外送金、緊急送金を複数人で確認しているか |
| 確認票 | 振込先変更確認票を保存しているか |
| 不審メール | 不審メールを削除せず、社内共有しているか |
| メール設定 | 経理・代表者のMFA、不審な転送設定を確認しているか |
月末点検では、当月の振込先変更件数を確認します。
「変更があったか」
「確認票があるか」
「誰が承認したか」
「取引先台帳の連絡先は最新か」
この4点を確認するだけでも、ビジネスメール詐欺への耐性が上がります。
8. 生成AI利用管理の確認
生成AI利用ルールを作った場合も、月末点検が必要です。
| 確認項目 | 内容 |
|---|---|
| 利用サービス | 業務利用している生成AIサービスが台帳に入っているか |
| 利用者 | 誰が使っているか分かるか |
| 入力禁止情報 | 顧客情報、個人情報、機密情報を入力していないか |
| 出力確認 | 顧客向け文書や公開資料を人が確認しているか |
| 利用申請 | 新しいAIサービス利用時に申請・承認しているか |
| 誤入力対応 | 誤って入力した場合の報告先が決まっているか |
| 教育 | 従業員に入力禁止情報と出力確認を周知しているか |
生成AIは、個人アカウントや無料サービスで使い始めやすいサービスです。
会社として把握していない生成AI利用があると、個人情報、機密情報、契約上の秘密情報が外部サービスに入力されるリスクがあります。
月末点検では、「新しい生成AIサービスを使っていないか」「顧客情報を入力していないか」「社外公開物に使っていないか」を確認します。
9. バックアップ・復元テストの確認
バックアップは、月末点検で特に重要です。
確認項目は次のとおりです。
| 確認項目 | 内容 |
|---|---|
| 対象 | 顧客情報、会計、給与、予約、請求、契約書が対象に入っているか |
| 頻度 | 業務上の影響に見合った頻度か |
| 世代 | 複数世代を保持しているか |
| 分離 | 本番環境とバックアップ先が分離されているか |
| SaaS | クラウドサービスからデータを取り出せるか |
| 復元テスト | 実際に戻して確認したか |
| 所要時間 | 復元にかかった時間を記録しているか |
| 改善事項 | 対象漏れ、手順不備、時間超過を改善しているか |
IPAの中小企業向けガイドライン第4.0版では、「バックアップを取ろう!」が追加され、情報セキュリティ6か条となっています。また、同ガイドラインの付録にはクラウドサービス安全利用の手引きも用意されています。
月末点検では、「バックアップがある」ではなく、「戻せることを確認したか」を見ます。
10. 未対応事項・次月改善の確認
月末点検表で最も重要なのは、未対応事項です。
未対応事項は、次のように管理します。
| No | 未対応事項 | リスク | 担当者 | 期限 | 次回確認 |
|---|---|---|---|---|---|
| 1 | 顧客一覧の復元テスト未実施 | ランサム時に復旧可否不明 | 総務 | 6/7 | 6月月次 |
| 2 | 生成AIの個人利用状況未確認 | 機密情報入力の可能性 | AI責任者 | 6/14 | 6月月次 |
| 3 | 委託先A社の削除証跡未取得 | 契約終了後データ残存 | 管理担当 | 6/10 | 6月月次 |
| 4 | ランサム連絡網が紙保管されていない | 非常時に参照不能 | システム担当 | 6/5 | 6月月次 |
未対応事項は、見つけること自体が問題ではありません。
問題は、担当者と期限を決めずに放置することです。
月末点検の進め方
月末点検は、次の5ステップで進めます。
ステップ1:各台帳・記録を集める
まず、5月に作った記録を集めます。
| 記録 | 内容 |
|---|---|
| 証跡ファイル | 基本方針、自社診断、教育記録、点検記録 |
| SaaS・クラウド台帳 | 利用サービス、管理者、保存情報、MFA、ログ |
| アカウント棚卸表 | 退職者、異動者、外部協力者の権限確認 |
| 委託先台帳 | 個人情報を渡す委託先、契約、再委託、終了時処理 |
| 漏えい等対応手順 | 初動、PPC報告判断、本人通知、時系列 |
| ランサム連絡網 | 社内、保守会社、外部機関、顧客連絡 |
| 振込先変更確認票 | 口座変更、電話確認、二重承認 |
| 生成AI利用台帳 | 利用サービス、利用者、入力禁止情報、承認 |
| 復元テスト記録 | 対象、復元結果、所要時間、改善策 |
これらを全部1枚に書き込むのではなく、月末点検表から参照できるようにします。
ステップ2:10項目をOK・注意・要対応で評価する
次に、各項目を3段階で評価します。
| 状態 | 判断例 |
|---|---|
| OK | 今月確認済み。証跡あり。大きな未対応なし |
| 注意 | 一部未確認、軽微な改善あり。期限を決めれば対応可能 |
| 要対応 | 業務停止、漏えい、取引先説明に影響する未対応あり |
評価は、厳密な点数化でなくても構いません。
大切なのは、経営者が「どこにリスクがあるか」を見られることです。
ステップ3:未対応事項に担当者と期限を入れる
「要対応」や「注意」がある項目は、必ず担当者と期限を設定します。
悪い例です。
| 未対応事項 | 状態 |
|---|---|
| バックアップ確認が必要 | 未定 |
| 生成AI利用を確認する | 未定 |
| 委託先に聞く | 未定 |
良い例です。
| 未対応事項 | 担当者 | 期限 |
|---|---|---|
| 顧客一覧を復元テスト対象に追加する | 総務 | 6/7 |
| 生成AI利用者を部署ごとに確認する | AI責任者 | 6/14 |
| 委託先A社から削除完了報告を受け取る | 管理担当 | 6/10 |
期限がない課題は、ほとんどの場合、次月も残ります。
月末点検では、必ず担当者と期限を入れます。
ステップ4:代表者または責任者が確認する
月末点検表は、担当者だけで閉じてはいけません。
代表者、役員、情報セキュリティ責任者などが確認し、必要な経営判断を行います。
確認するポイントは次の3つです。
- 業務停止や顧客影響につながる未対応がないか
- 個人情報や取引先情報に関わる未対応がないか
- 費用・外部委託・契約見直しが必要な事項がないか
中小企業では、セキュリティ対策が担当者任せになりがちです。
月末点検表を代表者が見ることで、経営課題として扱いやすくなります。
ステップ5:次月の重点テーマを決める
最後に、次月の重点テーマを決めます。
例えば、6月の重点テーマとして次のように設定します。
| 優先度 | 次月テーマ | 理由 |
|---|---|---|
| 高 | バックアップ復元テスト | 顧客一覧が対象漏れの可能性 |
| 高 | 委託先終了時証跡 | 契約終了済み委託先の削除証跡が未取得 |
| 中 | 生成AI利用確認 | 個人アカウント利用の実態が不明 |
| 中 | ランサム連絡網訓練 | 連絡網はあるが訓練未実施 |
月末点検は、単なる報告書ではありません。
次の改善につなげるためのものです。
月末点検表を使うときの注意点
完璧な表を作ろうとしない
最初から完璧な点検表を作ろうとすると、運用が続きません。
最初は、次の5項目だけでも構いません。
- SaaS台帳
- アカウント棚卸
- 委託先管理
- バックアップ復元
- 未対応事項
慣れてきたら、生成AI、振込先変更、ランサム連絡網、漏えい等対応を追加します。
「OK」にすることを目的にしない
月末点検の目的は、すべてをOKにすることではありません。
むしろ、「注意」「要対応」を早く見つけることが目的です。
未対応が見つかることは悪いことではありません。
事故が起きる前に見つけたという意味では、むしろ良い結果です。
記録の置き場所を決める
点検表を作っても、どこに保存したか分からなければ意味がありません。
おすすめは、次のように整理することです。
| フォルダ | 内容 |
|---|---|
| 01_基本方針・自社診断 | 基本方針、自社診断、改善計画 |
| 02_台帳 | SaaS台帳、情報資産台帳、委託先台帳 |
| 03_月次点検 | 月末点検表、未対応事項一覧 |
| 04_アカウント棚卸 | 退職者、異動者、外部協力者の確認記録 |
| 05_インシデント対応 | 連絡網、初動手順、時系列、報告様式 |
| 06_バックアップ | 復元テスト記録、手順書 |
| 07_教育・周知 | 教育資料、参加記録、確認テスト |
| 08_生成AI・新技術 | 利用台帳、申請、ルール |
ただし、ランサムウェア対応連絡網や重要な復旧手順は、社内共有フォルダだけでなく、紙や別系統の保管方法も用意します。
月末点検会議は15分でよい
月末点検は、長時間の会議である必要はありません。
中小企業では、次のような短い会議で十分です。
| 時間 | 内容 |
|---|---|
| 3分 | 今月の総合評価を確認 |
| 5分 | 要対応・注意の項目を確認 |
| 5分 | 担当者と期限を決める |
| 2分 | 次月の重点テーマを決める |
重要なのは、毎月続けることです。
年1回の大がかりな見直しよりも、月1回の小さな確認の方が、実務には定着しやすくなります。
取引先に説明するときの使い方
月末点検表は、取引先への説明にも役立ちます。
例えば、取引先からセキュリティチェックシートが届いたとき、次のように説明できます。
「情報セキュリティ基本方針を策定し、見直しを行っています」
「SaaS・クラウドサービスを台帳で管理しています」
「退職者・異動者のアカウント棚卸を月次で行っています」
「個人情報を委託している先を台帳で管理しています」
「バックアップの復元テストを実施し、結果を記録しています」
「インシデント発生時の連絡網と初動手順を用意しています」
SCS評価制度は、取引契約等において委託元が委託先に対策を促し、実施状況を確認することを想定しています。
そのため、月末点検表は、取引先から「どのように管理していますか」と聞かれたときの説明資料としても使いやすくなります。
ただし、月末点検表には社内情報や取引先情報が含まれる場合があります。
そのまま外部に渡すのではなく、必要に応じて概要版を作り、機密情報を除いた形で説明しましょう。
よくある失敗
台帳が多すぎて誰も見ない
詳しい台帳は必要ですが、経営者が毎月すべてを見るのは現実的ではありません。
月末点検表で全体を1枚にまとめ、詳細は必要なときに参照する形にしましょう。
担当者だけで完結する
アカウント削除、バックアップ、委託先管理などを担当者だけで処理していると、経営判断が必要な課題が埋もれます。
月末点検表は、代表者または責任者が確認する運用にします。
未対応事項に期限がない
「確認する」「検討する」「対応予定」とだけ書いても、実際には進みません。
未対応事項には、担当者と期限を必ず入れます。
証跡が残っていない
実際に確認していても、記録がなければ説明しにくくなります。
点検日、確認者、対象、結果、改善事項を残しましょう。
事故対応の資料が社内システム内にしかない
ランサムウェアやクラウド障害が起きたとき、社内システム内の連絡網が見られない可能性があります。
緊急連絡網、復旧手順、重要な問い合わせ先は、複数の方法で確認できるようにします。
月末点検を続けるコツ
月末点検を続けるには、負担を小さくすることが大切です。
おすすめは、次の3つです。
1つ目は、点検日を固定することです。
毎月最終営業日、給与締め後、月次会議前など、社内の業務サイクルに合わせます。
2つ目は、点検項目を増やしすぎないことです。
最初は10項目で十分です。必要に応じて詳細台帳を参照します。
3つ目は、未対応を責めないことです。
未対応を見つけるための点検です。責める運用にすると、担当者が問題を隠すようになります。
月末点検は、会社を守るための仕組みです。
担当者を責めるための仕組みにしてはいけません。
まとめ
5月に作ってきた台帳、連絡網、確認記録は、作っただけでは効果を発揮しません。
月末に見直し、未対応を見つけ、次月の改善につなげることで、実務に定着します。
月末点検表では、次の10項目を確認しましょう。
- 情報セキュリティ基本方針・自社診断
- SaaS・クラウド台帳
- 退職者・異動者アカウント棚卸
- 委託先・外部サービス管理
- 個人情報漏えい等対応
- ランサムウェア連絡網
- ビジネスメール詐欺対策
- 生成AI利用管理
- バックアップ・復元テスト
- 未対応事項・次月改善
月末点検表は、難しい書類である必要はありません。
「今月何を確認したか」
「どこに未対応があるか」
「誰がいつまでに対応するか」
「どの証跡を残したか」
この4点が分かれば、十分に実務で使えます。
中小企業の情報セキュリティ対策は、大規模な仕組みから始める必要はありません。
まずは、月1回、1枚の点検表で、社内の対策状況を確認することから始めましょう。
ライトハウスコンサルタントでは、情報処理安全確保支援士による情報セキュリティに関するコンサルティング、SECURITY ACTION取得サポート、CIOアウトソースサービスなどを行っています。社内台帳、月次点検表、SaaS管理、バックアップ復元確認、インシデント対応体制の整備に不安がある場合は、早めに専門家へ相談することをおすすめします。
