企業の情報セキュリティを強化する方法として、「中小企業の情報セキュリティ対策ガイドライン」の活用は選択肢の1つです。

本記事では、情報処理推進機構（IPA）が公開している「中小企業の情報セキュリティ対策ガイドライン第3.1版」について、分かりやすく解説します。

目次
中小企業の情報セキュリティ対策ガイドラインとは
【第3.1版】中小企業の情報セキュリティ対策ガイドラインの改訂ポイント
情報セキュリティ対策ガイドラインの活用方法
中小企業の情報セキュリティ対策にはガイドラインを活用しよう

情報処理推進機構（IPA）が公開している「中小企業の情報セキュリティ対策ガイドライン」とは、中小企業に向けた情報セキュリティに関する指針や手順、手法をまとめたものです。

中小企業の経営者が情報セキュリティ対策の必要性を理解し、重要な情報の漏えいや改ざんなどの被害を防止することを目的としています。内容は以下の構成となっています。

ガイドライン第3.1版の構成	詳細
経営者編	情報セキュリティ対策に関して、経営者が認識し、自らの責任で考えなければならない事項の説明
実践編	情報セキュリティ対策を実践する責任者・担当者を対象に、実務的な進め方について説明
付録	「情報セキュリティ基本方針」のサンプル

具体的な取り組み方法が記載されており、経営者や担当者はスムーズに対策に取り組むことができるでしょう。

参照：独立行政法人情報処理推進機構「情報セキュリティ｜中小企業の情報セキュリティ対策ガイドライン」
参照：独立行政法人情報処理推進機構セキュリティセンター「中小企業の情報セキュリティ対策ガイドライン第3.1版」

「中小企業の情報セキュリティ対策ガイドライン」は2023年4月に約4年ぶりの改訂が行われました。具体的な改訂ポイントは以下の通りです。

• 安全なテレワーク実施への対策
• セキュリティインシデントへの具体的な対策

改訂ポイントの詳細を見ていきましょう。

ガイドラインでは、テレワーク時の情報セキュリティの具体的な対策が追加されました。

具体的な内容を1つずつ紹介します。

テレワークに関する項目は、ガイドライン第2部5（4）に記載されています。テレワークを導入する際には、次の3段階でそれぞれ検討が必要です。

段階	検討項目
テレワークの方針検討	テレワークのシステム方式を選択する ・VPN方式 ・リモートデスクトップ方式 ・スタンドアロン（持ち帰り）方式 ・クラウドサービス方式
テレワークのセキュリティ対策	上記で選択した方式ごとに必要なセキュリティ対策が異なるため、それぞれの方式を把握してセキュリティ対策を行う
テレワークの運用	・テレワークの運用ルールを決める ・事故発生時の手順書を作成する ・問題が生じた場合の相談窓口を作る

テレワーク時は情報漏えいや不正アクセスのリスクが高まるため、それぞれの「方式」の特徴を把握し、必要な対策を立てておかなければなりません。

付録の中にある「情報セキュリティ5か条」には、情報セキュリティの必要性と具体的な取り組み方法が一目で分かるよう1枚の紙（裏表）にまとめられています。

内容は次の通りです。

1. 1. OSやソフトウェアは常に最新の状態にしよう
2. 2. ウイルス対策ソフトを導入しよう
3. 3. パスワードを強化しよう
4. 4. 共有設定を見直そう
5. 5. 脅威や攻撃の手口を知ろう

情報セキュリティ対策について「どこから手をつけたらよいか分からない」という場合は、1から順番に取り組むとよいでしょう。

付録6「中小企業のためのクラウドサービス安全利用の手引き」には、クラウドサービスを安全に運用するための方法がまとめられています。

クラウドサービスとはインターネット経由でソフトウェアやインフラ、データを利用できる仕組みです。

クラウドサービスは情報システムを自社で所有・運用する必要がありませんが、自社で情報を管理しないために情報漏えいや改ざん、データ消失、サービス停止などのリスクを伴います。

本編第2部5（3）にも、クラウドサービスのセキュリティポイントが記されているので、あわせて確認しておきましょう。

セキュリティインシデントには、悪意ある第三者からの攻撃、内部の人間による情報持ち出し、ソフトウェアのバグなどによるシステム停止など様々な種類があります。

ガイドラインには、最低限知っておかなければならないセキュリティインシデントへの対応方法が記載されています。

第2部5（5）に「セキュリティインシデント対応」が追加されました。

ガイドラインでは、インシデント発生時の対応を以下の3段階に分けて解説しています。

段階	内容
検知・初動対応	・インシデントと思われる事象が起きた場合は、速やかに責任者に報告 ・責任者は経営者に報告し、経営者は対応方針を指示 ・被害の拡大防止を意識する
報告・公表	・被害拡大を防止するため、二次被害が想定される場合などは本人に事実を報告 ・場合によってはサイトやメディアを通じて広く報告する ・問い合わせ窓口を開設したほうが良いケースもある ・内容によっては警察や個人情報保護委員会などへの届け出が必要なケースもある
復旧・再発防止	・原因を調査し再発防止に努める ・訴訟対応の対策として証拠保全を行う場合もある

どの段階でも迅速の対応が求められます。

付録8として「中小企業のためのセキュリティインシデント対応の手引き」が新たに追加されています。手引きでは、一般的なインシデント発生時の対応を3ステップで紹介しています。

さらに、セキュリティインシデントが発生しやすい以下の3つのケースについて、対応方法や注意すべき点を個別に記載しています。

• ウイルス感染・ランサムウェア感染
• 情報漏えい
• システム停止

インシデント発生時の相談窓口や報告先、役立つ情報サイトなども掲載しています。

ここからは、「中小企業の情報セキュリティ対策ガイドライン」の活用方法を解説していきます。

具体的な活用のステップは以下の通りです。

• 手順1. 社内でできることから始める
• 手順2. ハンドブックなどを作成し、自社の状況を把握し改善する
• 手順3. 本格的な運用を開始する
• 手順4. 改善を続ける

それぞれ詳しい内容を見ていきましょう。

ガイドラインを一読し、情報セキュリティの必要性を把握した後は社内でできることから始めます。

付録1の「情報セキュリティ5か条」はどんな企業でも必ず実行すべき重要な対策です。未対策のものがあれば対応しましょう。

付録3の「新5分でできる！情報セキュリティ自社診断」を活用しましょう。掲載されている25の質問に答えていくだけで自社の状況が把握できます。

項目が連動している付録4「情報セキュリティハンドブック（ひな形）」も活用しながら、不足部分を改善しましょう。同時に自社のハンドブックを作成します。

参照：独立行政法人情報処理推進機構セキュリティセンター「5分でできる情報セキュリティ自社診断」

本格的な運用を開始するにあたり、まずは管理体制を構築します。例えば次のような役職を作ります。

• 情報セキュリティ責任者
• 情報セキュリティ部門責任者
• システム管理者
• 教育責任者
• 点検責任者

付録5「情報セキュリティ関連規程（サンプル）」を参考に自社の「情報セキュリティ規程」を作成し、社員に伝えます。必要に応じて社員教育を行いましょう。

インシデントは突然発生しますが、迅速な初動対応が欠かせません。そのために緊急時の対応体制をあらかじめ整備しておくことが大切です。

情報セキュリティ対策が本当に実施されているのか、定期的な確認が必要です。

点検には、「情報セキュリティ5か条」「情報セキュリティ自社診断」「情報セキュリティ関連規程」が活用できます。

不足部分や問題点があれば、その都度改善しましょう。

情報処理推進機構（IPA）が作成している「中小企業の情報セキュリティ対策ガイドライン」の最新版には、テレワーク対策やセキュリティインシデント対応の手引きが追加されました。

ガイドラインを活用して社内の情報セキュリティ対策を強化しましょう。

本記事で紹介した「中小企業の情報セキュリティ対策ガイドライン」は、以下の公式サイトで詳しく解説していますので、ご参照ください。

参照：独立行政法人情報処理推進機構「情報セキュリティ｜中小企業の情報セキュリティ対策ガイドライン」

情報セキュリティ対策を強化するには高度な専門知識を持つ人材を社内に置くべきだと考える人もいるでしょう。そんな時におすすめなのが、CISA®（公認情報システム監査人）資格です。

CISA®（公認情報システム監査人）は、情報システム監査およびセキュリティ、コントロールのプロフェッショナルであることを示す国際的な資格です。

CISA®の資格取得を目指すなら、国際資格の専門校であるアビタスを利用しましょう。

アビタスでは初学者でも理解できるよう、分かりやすい講義を実施しています。マルチデバイス対応の電子テキストを用い、場所を選ばず効率的に学習できます。

最短5カ月、250時間で合格が狙えますので忙しい社会人の方におすすめです。

アビタスでは無料の説明会を実施しています。興味のある方はお気軽にご参加ください。

CISAについてもっと知りたい方はこちら