IPA、「中小企業の情報セキュリティ対策ガイドライン」第3版を公開

　独立行政法人情報処理推進機構（IPA）は19日、中小企業の情報セキュリティ対策に関する検討を行い、より具体的な対策を示す「中小企業の情報セキュリティ対策ガイドライン」の第3版を公開した。

　ガイドラインは、情報セキュリティ対策に取り組む際の、1）経営者が認識し実施すべき指針、2）社内において対策を実践する際の手順や手法――をまとめたもの。経営者編と実践編から構成され、個人事業主、小規模事業者を含む中小企業の利用を想定している。

　第3版は、2016年11月公開の第2版から2年4カ月ぶりの大幅改訂となり、「サイバーセキュリティ経営ガイドライン」の改訂や、中小企業などを対象としたクラウドサービスの充実化などの環境変化を受けたもの。専門用語の使用を可能な限り避け、ITに詳しくない中小企業などの経営者にとって理解しやすい表現としている。

　例えば、実践編においては、対策に取り組めていない中小企業などが組織的な対策の実施体制を段階的に進めていけるよう、構成の見直しを実施。また、クラウドサービスを安全に利用するための留意事項やチェック項目を記し、付録として新たに「中小企業のためのクラウドサービス安全利用の手引き」を追加した。

　IPAでは、中小企業などではITの利活用が進む一方で、サイバー攻撃手法の巧妙化、悪質化などにより、事業に悪影響を及ぼすリスクはますます高まってきており、サプライチェーンを構成する中小企業においては、発注元企業への標的型攻撃の足掛かりとされる懸念も指摘されるなど、早急な対策実施が必須だと説明。

　今回公開したガイドラインと、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する「SECURITY ACTION」制度の活用により、ITを利活用している中小企業が情報セキュリティ対策に取り組み、経済社会全体のサイバーリスク低減につながることを期待するとしている。