（独立行政法人情報処理推進機構(IPA)技術本部
セキュリティセンター普及グループ
研究員　佐藤 裕一）

今から16年前の2001年1月に、IT基本法（高度情報通信ネットワーク社会形成基本法）が施行されました。この法律の総則には「すべての国民が情報通信技術の恵沢を享受できる社会の実現」「経済構造改革の推進及び産業国際競争力の強化」等が規定されていますが、その後のITの進展、普及により、この法律が掲げた「高度情報通信ネットワーク社会の形成」は、極めて身近に感じられるようになりました。我が国の産業の大部分を占める中小企業に おいても、ビジネスにおけるITの利活用が進み、ECサイトの運営による利益の増加等の経済的な効果も現れています。

一方で、パソコンやネットワークの普及以前では想定できなかった事故が起きるようになりました。一例を挙げると、インターネットバンキング利用時の不正送金やクレジットカードの不正利用による被害額は平成27年度で合計30億7300万円にのぼります。この金額は過去に起きた銀行強盗等の現金強奪事件よる単独の最大被害金額よりも大きな金額です。

「情報通信技術の恵沢を享受できる社会」を実現するためには、このようなIT特有の不正、事故を防止する必要があるため、個人情報保護法では安全管理措置が義務化されたり、刑法にウイルス作成罪が新設されるなど、法整備も進み、情報セキュリティに対する社会的要請、法的責任は、ますます拡大し、情報セキュリティへの取り組みは優先課題となっています。

独立行政法人情報処理推進機構（IPA）では中小企業を対象に「中小企業における情報セキュリティ対策の実態調査」を実施しています。2016年度の調査結果によると、典型的な脅威であるウイルスに感染もしくは発見したことがあると回答した企業は、従業員数100人以下の中小企業で34.4％、101人以上の中小企業では54.6％と過半数に達しています。さらにサイバー攻撃を受けたことがあると回答した企業は、100人以下の中小企業で7.0％、101人以上の中小企業では19.0％にも及んでいます。

調査結果が示すように情報セキュリティ事故の被害は中小企業にとっても「他人事」ではなくなっています。それにも関わらず、同調査で情報セキュリティ対策を組織的には行っていないと回答した企業は100人以下の中小企業で43.7％、101人以上の中小企業では25.8%となっており、中小企業層にも被害が拡大している反面、セキュリティ対策が不十分であることが判ります。

このような背景から、IPAでは中小企業に向けて『中小企業の情報セキュリティ対策ガイドライン』を発行していますが、新たな脅威やクラウド・モバイルなどIT環境の変化、マイナンバー法施行や個人情報保護法改正による適用対象の拡大など法制度の変化を踏まえて内容を刷新し、2016年11月に改訂版を公開しました。

『中小企業の情報セキュリティ対策ガイドライン』改訂版では、被害が拡大している中小企業層の組織的な対策を促すために、経営の意思決定を行う経営者と情報セキュリティ対策を実行する管理者とに読者を区分して編集しています。さらに、業種や規模などが幅広い中小企業層で活用いただくために以下の構成としています。

『中小企業の情報セキュリティ対策ガイドライン』

■本編
＜第1部　経営者編＞
企業全体で情報セキュリティ対策に取り組むには、経営者の理解と支援が不可欠です。経営者編では経営者にとっての情報セキュリティの必要性と責任を提示するとともに、難解と思われがちな情報セキュリティについて、経営者が認識すべき「3原則」、経営者がやらなければならない「重要7項目」に解りやすく要点をまとめ、経営者の情報セキュリティに対する理解と支援を促しています。
＜第2部　管理実践編＞
企業内で情報資産や情報システムなどの管理を実践される方を対象として「情報セキュリティ5か条」「情報セキュリティ自社診断」そして情報セキュリティ対策の基礎となる「情報セキュリティポリシーの策定」まで、段階的に進められるように説明しています。また組織的に取り組む際に必要となる文書や作業シートとして、「情報セキュリティ5か条」や「5分でできる！自社診断シート」のほか、「わが社の情報セキュリティポリシー」には自社のセキュリティポリシーを策定する際にすぐに役立つ情報資産管理台帳のひな形やポリシーのサンプルを別添の付録として用意しています。

■付録
＜情報セキュリティ5か条＞
情報セキュリティ対策はこれからという小規模企業や個人事業主の方が取り組みやすいように、次の「情報セキュリティ5か条」を示し、対策例を説明しています。
1 OSやソフトウェアは常に最新の状態にしよう！
2 ウイルス対策ソフトを導入しよう！
3 パスワードを強化しよう！
4 共有設定を見直そう！
5 脅威や攻撃の手口を知ろう！

＜5分！でできる情報セキュリティ自社診断＞
25の設問に答えるだけで自社の対策状況を把握することができる「自社診断シート」と、一般的なIT環境で、あまり費用をかけずに取り組むことができる対策例の解説編がセットになっています。さらに対策を社内ルールとして周知するための「情報セキュリティハンドブック（ひな形）」が付属します。

＜わが社の情報セキュリティポリシー＞
ビジネスにITを多用していたり、大量の個人情報を取り扱うなど、事故が起きると深刻な影響がある会社は、どこにどのような情報資産があり、どのような脅威があるかなど、リスク分析を通じて、自社の業務に適した的確なルールや基準を設けて計画的に対策を実施する必要があります。「わが社の情報セキュリティポリシー」は情報資産管理台帳、脅威の状況、脆弱性チェックのシートで構成されたExcelファイルと自由に編集できる情報セキュリティポリシーサンプルのWordファイルで構成され、自社の実態に即したポリシーを策定することができるツールになっています。

本ガイドラインは、IPAのウェブサイトに公開されていて、誰でも無償で入手、利用することができます。自社の情報セキュリティ対策を進めるにあたって是非ご参考にしてください。

中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/keihatsu/sme/guideline/

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【事務局からの連絡、お知らせ】

★「IT活用促進資金向けセキュリティ対応製品サービスリスト」を公開しました。
　IT活用促進資金のセキュリティ対策要件を満たすと思われるJNSA会員企業が開発・販売・提供しているセキュリティ製品・サービスの一覧です。
　IT活用促進資金のご利用を検討の際にご参照ください。
https://www.jnsa.org/it_katsuyou/

★JNSA活動報告会を6月12日（月）に秋葉原UDXで行います。
　日時：2017年6月12日（月）9:40-15：45 （9:30開場予定）
　場所：秋葉原UDX（東京都千代田区外神田4-14-1）
　プログラムはこちら↓
https://www.jnsa.org/seminar/2017/0612/

★2016年度JNSA定時総会を開催いたします。
　日時：2016年6月12日（月）16時より
　会場：秋葉原UDX　4F Next-1（東京都千代田区外神田4-14-1）

★JNSA会員ご紹介のページを更新しました。ぜひご覧下さい。
https://www.jnsa.org/aboutus/join/

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第111号
発信日：2017年5月12日
発　行：JNSA事務局　
*************************************