|
セキュリティセンター 普及グループリーダーの石井茂氏
|
|
5分でできる自社診断シートの概要
|
独立行政法人情報処理推進機構(以下、IPA)は3月18日、「中小企業の情報セキュリティ対策ガイドライン」を発表した。同日よりWebサイト上で公開している。
具体的な成果物は、1)中小企業が最初に取り組むべき項目をチェックシート化した「5分でできる自社診断シート(以下、チェックシート)」、2)組織的対策をまとめた「中小企業における組織的な情報セキュリティ対策ガイドライン(以下、組織対策ガイドライン)」、3)業務委託時に明確にすべき機密保持条項やセキュリティ対策をまとめた「委託関係における情報セキュリティ対策ガイドライン(以下、委託ガイドライン)」の3冊。
従来の情報セキュリティ対策では、リスク分析を基にして、自社にあった対策基準や実施手順を策定する必要があるが、その進め方では敷居の高い中小企業が対象。セキュリティセンター 普及グループリーダーの石井茂氏は、「ISMSなどでもリスク分析を行う必要があるが、この段階で何をすればよいか分からないという企業は多い。そこで組織対策ガイドラインでは、手法ではなく、具体的な対策事項を提示しているのが特徴」と話す。
チェックシートは、ウイルス対策から重要情報の保管、持ち出し、廃棄などに関する基本的な25個の質問で構成され、採点方式で現在の対策状況が把握できる。
組織対策ガイドラインは、「中小企業であれば共通して実施すべき対策」「企業ごとにそれぞれの特徴を考慮して実施すべき対策」の2つの観点で整理したのが特徴で、すべての対策を行うことが不可能な場合に、どのように取捨選択をすべきかといった考え方も記載されている。
共通対策としては、1)情報セキュリティに対する組織的な取り組み、2)物理的セキュリティ、3)情報システムおよび通信ネットワークの運用管理、4)情報システムのアクセス制御の状況および情報システムの開発、5)情報セキュリティ上の事故対応、の5つを提示。
企業ごとの対策としては、「製品開発上の機密情報が他社に漏れた」「Winnyから機密情報が流出した」など具体的な10のシナリオを創作。さまざまな脅威に「気づき」を持ってもらうための「KYT(脅威予知トレーニング)」として提示している。
使い方の一例としては、「まずチェックシートで最低限のセキュリティ対策事項をチェックし、それを満たした場合に、組織対策ガイドラインで具体策を実施。さらに対策が必要と判断した場合に、ISMSなどにチャレンジするといった流れを想定している」(石井氏)。
委託ガイドラインは、業務委託時に取り決めるべき、情報セキュリティ対策の具体的な実施内容をまとめたもの。石井氏によれば「委託元から委託先へ、こういうことを守ってください、という取り決めが現状あまりきちんと行われていない」という。そこで「賠償責任を負う」という一文だけでなく、もう少し細かく「機密保持契約条項例」と「委託先の情報セキュリティ対策条項例」を作成。特に“何が機密情報なのか”といったことや“再委託時の取り決め、制限”をはっきりさせるのに有効という。
石井氏は「中小企業の“何をすべきか分からない”という問いに対する答えとして、1年間検討してきた成果」と説明。今後は、中小企業のセキュリティ対策実施状況調査をさらに進めるとともに、チェックシートを基にしたセミナー、eラーニングツールなどの提供を予定。また、商工会議所516カ所、商工会2000カ所、ITコーディネータ協会200カ所にパンフレット30万部を配布するなどして、普及啓発、地域展開に努める方針としている。
■ URL
独立行政法人情報処理推進機構
http://www.ipa.go.jp/
ダウンロードページ
http://www.ipa.go.jp/security/fy20/reports/sme-guide/
プレスリリース
http://www.ipa.go.jp/security/fy20/reports/sme-guide/press.html
( 川島 弘之 )
2009/03/18 17:13
|