ニュース
IPA、テレワークへの対策などを追加した「中小企業の情報セキュリティ対策ガイドライン」新版を公開
2023年4月26日 13:16
独立行政法人情報処理推進機構(以下、IPA)は26日、中小企業向けに情報セキュリティ対策の考え方や、段階的に実現するための方策を紹介する「中小企業の情報セキュリティ対策ガイドライン」を改訂し、第3.1版を公開した。
「中小企業の情報セキュリティ対策ガイドライン」は、中小企業の経営者や実務担当者が、情報セキュリティ対策の必要性を理解し、情報を安全に管理するための具体的な手順等を示したガイドライン。2019年3月に第3版を公表して以降、新型コロナウイルス感染防止策によるテレワークの普及や、DX推進の両輪としての情報セキュリティ対策といった社会動向の変化などを踏まえ、具体的な対応策を盛り込むための改訂を行った。
ガイドラインは、本編2部と付録で構成されており、第1部に経営者が認識すべき「3原則」、経営者が実行すべき「重要7項目の取組」を記載。第2部では実務担当者向けに情報セキュリティ対策の具体的な進め方を説明している。さらに、「情報セキュリティ基本方針」や「情報セキュリティ関連規程」などのひな形を付録として備える。
今回の改訂では、テレワークを安全に実施するためのポイントを具体的な方策として追加。中小企業においてもテレワークの普及が進んでいることを踏まえ、第2部5章の「より強固にするための方策」に「テレワークの情報セキュリティ」を追加し、検討事項を三段階に分けて説明している。
検討事項のうち第一段階では、テレワークで使用するシステム構成や機器に関する方針検討について、第二段階では、VPN方式、リモートデスクトップ方式、スタンドアロン方式、クラウドサービス方式といった方式ごとや、個人所有の端末、無線LANといった機器ごと、さらにテレワークを行う場所ごとの留意点も示している。第三段階では、テレワークのセキュリティに関するルールや規定の重要性を説明している。さらに、付録で提供している「情報セキュリティハンドブック(ひな形)」と「情報セキュリティ関連規程(サンプル)」では、具体的な実現方法を手順書レベルに落とし込んで記載しており、これらを合わせて活用することで、利用者はやるべきことを知るだけでなく、実施のための実用的な方法を得られる。
また、セキュリティインシデント発生時の対応を具体的な方策として追加。サイバー攻撃の高度化に伴い、セキュリティインシデントが増加していることを踏まえ、第2部5章に「セキュリティインシデント対応」を追加し、インシデント発生時の対応における検討事項を三段階に分けて説明している。
検討事項のうち第一段階では、検知・初動対応として、速やかに情報セキュリティ責任者への報告を行うことや、被害を拡大させないための初動対応が重要であることを示している。第二段階では、顧客や関係者、行政機関、一般・メディアなどに対して必要に応じて適時の報告や情報公開を行うことについて示している。第三段階では、復旧・再発防止として、システム管理者や外部専門組織と協力して、迅速な復旧作業や根本的な再発防止策を検討することについて説明している。
このほか、中小企業が非常時にすぐ手元で活用できるよう、「中小企業のためのセキュリティインシデント対応の手引き」を付録に追加。8ページの冊子で、インシデント対応時に整理しておくべき事項のリストや、「検知・初動対応」「報告・公表」「復旧・再発防止」といった基本ステップごとのアクションを示している。さらに、「ウイルス感染・ランサムウェア感染の場合」「情報漏えいの場合」「システム停止の場合」といった場合ごとに1ページずつ解説するほか、相談窓口や報告先も紹介している。
IPAでは、ガイドラインを多くの中小企業が活用することで、情報セキュリティ対策への取り組みが進み、経済社会全体のサイバーリスク低減につながることに期待するとしている。