中小企業の情報セキュリティ対策ガイドライン第4.0版のSTEP3は、「本格的に取り組む」です。本編の目次では、STEP3には10項目が並んでおり、(1)情報セキュリティ基本方針の作成、(2)体制の整備、(3)情報セキュリティ規程の作成、(4)資産管理、(5)攻撃等の防御、(6)攻撃等の検知、(7)点検と改善、(8)インシデント対応体制等の整備、(9)取引先/外部情報サービスの管理、(10)情報収集と共有で構成されています。今回の記事では、このうち前半にあたる(1)〜(7)を扱います。
STEP2が「方針を決めて、自社診断をして、社内へ周知する」段階だとすると、STEP3は「自社のリスクを踏まえて、必要な対策を文書化し、体制と運用に落とし込む」段階です。IPA本文でも、まず自社にどのような情報セキュリティリスクがあるかを考え、経営者が懸念する重大事故や関連業務を踏まえて対策を決め、具体的に記述すると説明しています。
この記事でわかること
- STEP3で何が変わるのか
- 基本方針、体制、規程、資産管理をどう整えるか
- 防御・検知・点検をどう回し始めるか
- 付録1・5・6をどう使い分けるか
STEP3は「気をつける」から「決めて運用する」への切り替え
IPAはSTEP3の冒頭で、自社に適した対策を実行して効果を上げるには、まず自社にどのようなリスクがあるかを考え、事業へ大きな損害を与える事故を防ぐための対策を決め、規程として具体的に記述するとしています。ここで初めて、「やったほうがよい対策」が「会社として決めたルール」へ変わります。前半はIPA本文、最後の一文は本稿での整理です。
つまり、STEP3の主役は“高度なツール導入”だけではありません。基本方針を文書化し、役割と責任を決め、規程と台帳を整え、アクセス管理やバックアップ、ログ確認、教育までを回すことが中心です。中小企業では、ここを飛ばして製品選定だけ先に進めると、担当者依存になりやすいので注意が必要です。
まず整えるべきは、基本方針と体制
情報セキュリティ基本方針は、責任の所在と行動指針を明確にする
STEP3の(1)でIPAは、情報セキュリティ基本方針は、責任の所在や行動指針を明確にし、組織全体で一貫した対策を実現するために不可欠だと説明しています。また、自社のセキュリティ基本方針を策定して役職員や社外要員に周知し、社内外に取り組む姿勢を示すことで、信頼性の向上や役職員の意識・行動改善につなげるよう求めています。
STEP2でも基本方針は扱いましたが、STEP3ではそれを“会社の正式な方針”として位置付け直すイメージです。自社のサイトや会社案内に載せるかどうかだけでなく、役割分担や運用の前提になる文書として扱う必要があります。
体制整備では、担当・報告・連絡先を曖昧にしない
STEP3の(2)でIPAは、セキュリティ担当の明確化、定期的な経営層への報告、社内ルールの策定と周知を通じて、リスク管理体制を構築するとしています。さらに、セキュリティ推進活動を担当する部署や役職員を決定し、責任と権限を割り当て、平時と有事に備えた連絡先リストを整備するよう求めています。経営層が参加する情報セキュリティ委員会等で、基本方針や資源配分を審議し、決定事項を記録して全社へ周知・フォローすることも示されています。
またIPAは、対策の実行に必要な人材の確保と育成について、付録1「中小企業のためのセキュリティ人材確保・育成の実践ガイドブック」を参照するよう明記しています。紹介ページでは、この付録1は全14ページで提供されています。
小規模企業では、専任の情シス部門がなくても構いません。ただし、「社長が最終責任者」「実務担当は誰か」「障害や事故のとき誰に連絡するか」だけは曖昧にしないほうがよい、というのがSTEP3の実務的な読み方です。
規程づくりは、ゼロから書かない
STEP3の(3)「情報セキュリティ規程の作成」でIPAは、①対応すべきリスクの特定、②対策の決定、③規程の作成、という流れを示しています。組織や担当者の経験や判断でリスク分析を行い、自社に必要な対策を追加しながら、自社に適した規程を作る考え方です。
リスク特定の場面では、IPAは、関連する業務や情報に係る外部状況として、法律や規制、情報セキュリティ事故の傾向、取引先からの要求事項などを考慮し、内部状況として、経営方針、情報セキュリティ方針、管理体制、情報システムの利用状況などを併せて考えるよう示しています。つまり、規程は社内事情だけで書くものではなく、法令・契約・取引先要請まで含めて作るものです。
対策の決定では、IPAは、すべてのリスクに対応しようとすると費用が多額になったり仕事が非効率になったりするため、事故が起きると被害が大きいもの、いつ起きてもおかしくないものを優先し、リスクの小さなものは現状のままにするなど合理的に対応すると説明しています。優先順位をつけることが、STEP3では重要です。
規程の文書化では、IPAは、決定した対策を一から文章化するのは難しいため、付録5「情報セキュリティ関連規程(サンプル)」を参考にし、自社向けに修正して完成させるよう案内しています。紹介ページでは、この付録5は全59ページで提供されています。最初から白紙で書くより、サンプルを埋める前提で進めるほうが現実的です。
資産管理は「何を持っているか分からない」をなくすところから
STEP3の(4)「資産管理」でIPAは、自社IT基盤や資産の現状把握、情報の分類・保護の徹底は、情報漏えいや不正アクセスのリスクを最小限に抑えるために不可欠だと説明しています。そのうえで、ハードウェア、OS、ソフトウェア、ネットワークに関する情報を把握し、各拠点の構成機器や保守事業者の情報を整理し、主要なネットワークセグメントやデバイス配置を記載したネットワーク図を作成・版管理し、構成変更のたびに更新するよう求めています。
IPAはあわせて、機密区分に応じた情報の管理ルールを定め、取扱方法や取扱エリアの区分・制限を文書化するよう示しています。役職員の退職や派遣社員等の契約満了後には、情報や機器、ID・鍵等を回収し、復元できない方法でデータを消去し、チェックリストや証跡で実行状況を可視化することも求めています。さらに、テレワークで使用する機器や高機密情報の扱い、脆弱性の管理体制と管理プロセスを定めることも資産管理に含めています。
紹介ページでは、付録6「資産管理台帳(サンプル)」は全9シートで提供されています。STEP3の資産管理は、まずこの台帳を使って「どの端末が、誰に、どこで使われているか」「どのソフトが入っているか」「どこにバックアップがあるか」を一覧化するところから始めるのが実務的です。
防御は「アクセス・データ・端末/サーバ・ネットワーク・教育」の5層で考える
STEP3の(5)「攻撃等の防御」でIPAは、企業の資産や情報を脅威から守るため、認証管理やシステム保護、教育など多様な防御策を実施し、総合的な対策で攻撃や事故のリスクを最小限に抑えると説明しています。本文では、防御を①IDアクセス制御、②データセキュリティ、③プラットフォームセキュリティ、④技術インフラの境界防護、⑤意識向上とトレーニングに分けて整理しています。
IDアクセス制御では、ユーザーID・管理者IDの発行、変更、削除の手続、アクセス権の管理ルール、パスワードの設定・管理ルール、情報の重要度に応じた認証強度と実装方法、サーバー設置エリアへの入退室管理、可搬媒体の持込み・持出し制限などが示されています。社長や担当者の実務では、「誰に何の権限を与えるか」「異動や退職で消し忘れがないか」「管理者権限を絞れているか」を定期的に見直すことが要点になります。
データセキュリティでは、暗号化など情報漏えい時の影響を緩和する保護措置、重要データの保管場所や取引先との情報共有・送信ルール、そして適切なバックアップが挙げられています。IPAは、バックアップの対象と頻度を定め、遠隔地を含む保管方法やリストア手順書を整備するよう示しています。
プラットフォームセキュリティでは、安全な構成の維持、ウイルス対策、セキュリティパッチやアップデートの適用、サポート期限切れ製品の利用停止・更改、ログの取得とレビューが示されています。さらに境界防護では、社内外ネットワークの分離やファイアウォール設定、用途や取扱情報が異なるネットワークのセグメント分離が求められています。教育面では、全役職員への定期的な意識向上教育と、インシデント対応の教育・訓練を、記録・見直しまで含めて実施するよう案内しています。
検知と点検がないと、対策は「やりっぱなし」になる
STEP3の(6)「攻撃等の検知」でIPAは、サイバー攻撃の予兆や異常を早期に発見するため、システム、ネットワーク、機器の状態を継続的に監視・分析すると説明しています。具体的には、ネットワーク接続やデータ転送の監視、ハードウェアやソフトウェアの状態・挙動の監視、利用を許可するソフトウェア一覧の作成、インストール状況の点検、外部から受け取ったファイルの安全性確認などが挙げられています。
続く(7)「点検と改善」でIPAは、点検結果を経営者に報告し、経営者の意図するセキュリティ対策が実現できているか確認・評価することが重要だと説明しています。その評価結果によっては、リスクの特定に戻って対策を見直し、取り組みの精度を高めるとしています。営業秘密や個人情報のように特に十分な対策が必要な場合は、第三者による情報セキュリティ監査の検討にも触れています。
またIPAは、点検方法の例として、質問、閲覧、観察、技術診断、チェックリストを挙げ、点検基準の例として「情報セキュリティ6か条や5分でできる自社診断に基づく点検」「策定したルール・規程に基づく点検」を示しています。中小企業では、高価な監査ツールより先に、「誰が、いつ、何を、どの基準で確認するか」を決めるほうが先です。
付録1・5・6はどう使い分ければよいのか
ここからは本稿の実務向け整理です。STEP3に関係が深い付録は、役割で分けると理解しやすくなります。付録1は人、付録5はルール、付録6は台帳です。IPA本文では体制整備で付録1の参照が明記され、紹介ページでは付録5が規程サンプル、付録6が資産管理台帳サンプルとして公開されています。
実務上は、まず付録5で「自社の規程」を作り、次に付録6で「守る対象と環境」を見える化し、その運用を回す人材や教育を付録1で補う順番にすると進めやすくなります。規程だけあって台帳がない、台帳はあるが担当が決まっていない、という状態を防ぐためです。
社長が今日決めるべき3つ
ここからは本稿の実務向け整理です。第6回の段階で社長が決めたいのは、まず誰が基本方針と規程の最終承認者で、誰が月次または四半期で報告するかです。IPAは、体制整備の中で責任と権限の割当て、経営層への定期報告、決定事項の記録と周知を求めています。
次に決めたいのは、どの情報資産とシステムを最優先で台帳化し、機密区分を付けるかです。IPAは、資産管理でハードウェア、OS、ソフトウェア、ネットワークの把握と、情報の機密区分に応じた管理ルールを求めています。全部を一度に完璧にそろえるより、重要なものから可視化するほうが現実的です。
最後に、どこまでを最低限の防御・検知ラインにするかを決めます。管理者権限の見直し、重要データのバックアップ、ログの取得とレビュー、サポート切れ機器の更改、教育・訓練の頻度などは、STEP3の中心テーマです。ここが決まると、対策が「担当者の善意」ではなく「会社の運用」になります。
まとめ
中小企業の情報セキュリティ対策ガイドライン第4.0版のSTEP3前半は、基本方針の文書化、体制整備、規程作成、資産管理、防御、検知、点検と改善を通じて、情報セキュリティ対策を“組織の運用”に変える段階です。IPA本文を読むと、ここで重視されているのは、難しい製品名よりも、責任の所在、ルール、台帳、アクセス管理、バックアップ、ログ、教育、報告のサイクルだと分かります。
次回は、STEP3後半として、(8)インシデント対応体制等の整備、(9)取引先/外部情報サービスの管理、(10)情報収集と共有を取り上げます。事故が起きたときの初動、委託先やクラウドの扱い、情報共有の仕組みまで整理します。
