情報セキュリティに関する参考情報 | ガルベラ・パートナーズグループ

Ｑ、最近では、サイバー攻撃など情報セキュリティに関するニュースが多く、中小企業も例外なくその対策が重要だと聞いています。
取り組み内容検討に際して、何か有益な情報入手方法はありますか。

Ａ、情報セキュリティに関する脅威の内容やその対策・事例集では、独立行政法人情報処理推進機構（IPA）の提供情報が一つの参考になるかと思います。着眼すべき点が発信されており、情報セキュリティポリシー策定、従業員教育施策の検討などに際して、さまざまな参考内容が掲載されております。また、運用では枠組みとしてISMS（情報セキュリティマネジメントシステム）があり、ISO規格に基づきPDCAサイクルをまわすことでその情報セキュリティ対策を講じていくものです。その規格認証有無を問わず、参考情報として確認されるといいのではないでしょうか。ほかJPCERTや一般財団法人日本情報経済社会推進協会（JIPDEC）などの提供情報等有益な内容を積極的に入手しながら自社の課題に即した対応を検討していくことが必要でしょう。

 

解説（公開日： 　最終更新日： ）

   

今日での会社経営において、情報セキュリティ対策は必須であり、重要な経営課題です。

 

情報の取り扱いについて、日本では経営課題というよりも一つの部門（セクション）の業務にすぎないという意識が一部根強いと思われますが、ご存知の通り、情報セキュリティに関する問題が生じた際には経営の根幹が揺らぐものであり、課題意識が必要です。

現に情報漏えい等によるもので経営が成り立たなくなった事例が多くあることは、すでにご存知の通りかと思います。

また、独立行政法人情報処理推進機構（IPA）より毎年発信の情報セキュリティ10大脅威の内容においてもその社会的な問題が示されている通りで、ランサムウェアや標的型攻撃等昨年まで常に上位にあるなど、会社経営において到底無視できない問題といえます。

 

ご参考：情報セキュリティ10大脅威2023

   

なお、情報セキュリティ対策を講じるうえで一つの参考の枠組みにISMSというものがあります。

ISMSとは、Information Security Management Systemの頭文字をとった略称です。

意味は、情報セキュリティマネジメントシステムで、情報セキュリティ管理に関する仕組みのことをいいます。

情報の保全において、情報漏えい等インシデント（事故）発生の低減、発生後の対応に関する仕組みをいい、そのISMSに関する規格ではISO27001・27002があります。

ISOは国際規格で、最近では2022年に改訂があり、管理策の項目が増えました。

内容は、サイバーセキュリティやプライバシー保護を意識したもので、これまでの規格内容に増して定期的な点検、確認がより必要なものとして、会社それぞれの課題・状況に応じたプラン策定とその実行に加えて確認体制をもより構築しながらPDCAサイクルをまわしていく必要があります。

 

対策では、例えば、パスワード設定有無の確認、メール誤送信対策の検討、クラウド管理の活用や、その運用ルールの策定等ヒューマンエラーを防ぐ施策から執務室・会議室などの使用ルール策定等物理的な対応策、サイバー攻撃を想定した技術的脅威への対策などを検討し、実行します。

 

ショルダーハッキングからUSBメモリ紛失、飲食店での会話による情報漏えいなど、さまざまなシーンを想定しながら検討していきます。

 

なお、会社によって情報資産と定義付けられるものが異なることも忘れてはなりません。

何が重要情報であり、何を資産にするかを定めたうえでその保全に関する検討を進めないとその目的と目標が定まりません。

 

情報セキュリティインシデントを未然に防ぐものとして事前対策検討と実行がありますが、事後対策としての体制整備も必要です。

リスクアセスメント、対応計画とその確認結果等点検に基づく再計画を繰り返すことがより自社の状況に応じた組織体制構築に資する取り組みになるといえるでしょう。

なお、制度等ハード面に限らず、従業員一人ひとりの意識醸成等ソフト面へのアプローチも欠かすことができません。

何が必要かを検討したうえで研修・教育環境の整備を講じ、そのなかで課題が浮き彫りになるかと思います。

その課題解決に向けて、例えば、マニュアル・各手順書作成やテストの実施、レクチャー、実践型の模擬インシデントなどを通した課題意識の重要性を共有するなどを検討してみてはいかがでしょうか。