「中小企業の情報セキュリティ対策ガイドライン」を改訂
~テレワークへの対策やインシデント対応の手引きを追加~
2023年4月26日
独立行政法人情報処理推進機構
独立行政法人情報処理推進機構
プレス発表 「中小企業の情報セキュリティ対策ガイドライン」を改訂
~テレワークへの対策やインシデント対応の手引きを追加~
~テレワークへの対策やインシデント対応の手引きを追加~
IPA(独立行政法人情報処理推進機構、理事長:齊藤裕)は、中小企業向けに情報セキュリティ対策の考え方や、段階的に実現するための方策を紹介する「中小企業の情報セキュリティ対策ガイドライン」を改訂し、第3.1版を公開しました。
URL:https://www.ipa.go.jp/security/guide/sme/about.html
「中小企業の情報セキュリティ対策ガイドライン」は、中小企業の経営者や実務担当者が、情報セキュリティ対策の必要性を理解し、情報を安全に管理するための具体的な手順等を示したガイドラインです。2019年3月に第3版を公表して以降、新型コロナウイルス感染防止策によるテレワークの普及や、DX 推進の両輪としての情報セキュリティ対策といった社会動向の変化などを踏まえ、具体的な対応策を盛り込むための改訂を行いました。
本ガイドラインは、本編2部と付録で構成されています。第1部に経営者が認識すべき「3原則」、経営者が実行すべき「重要7項目の取組」を記載し、第2部では実務担当者向けに情報セキュリティ対策の具体的な進め方を説明しています。さらに、「情報セキュリティ基本方針」や「情報セキュリティ関連規程」などのひな形を付録として備えています。今回の改訂の主なポイントは以下のとおりです。
1. テレワークを安全に実施するためのポイントを具体的な方策として追加
中小企業においてもテレワークの普及が進んでいることを踏まえ、第2部5章の「より強固にするための方策」に「テレワークの情報セキュリティ」を追加し、検討事項を三段階に分けて説明しています。第一段階では、テレワークで使用するシステム構成や機器に関する方針検討について、第二段階では、VPN方式、リモートデスクトップ方式、スタンドアロン方式、クラウドサービス方式といった方式ごとや、個人所有の端末、無線LANといった機器ごと、さらにテレワークを行う場所ごとの留意点も示しています。第三段階では、テレワークのセキュリティに関するルールや規定の重要性を説明しています。さらに、付録で提供している「情報セキュリティハンドブック(ひな形)」と「情報セキュリティ関連規程(サンプル)」では、具体的な実現方法を手順書レベルに落とし込んで記載しています。これらを合わせて活用することで、利用者はやるべきことを知るだけでなく、実施のための実用的な方法を得ることができます。
2. セキュリティインシデント発生時の対応を具体的な方策として追加
サイバー攻撃の高度化に伴いセキュリティインシデントが増加していることを踏まえ、第2部5章に「セキュリティインシデント対応」を追加し、インシデント発生時の対応における検討事項を三段階に分けて説明しています。第一段階では、検知・初動対応として、速やかに情報セキュリティ責任者への報告を行うことや被害を拡大させないための初動対応が重要であることを示しています。第二段階では、顧客や関係者、行政機関、一般・メディア等に対して必要に応じて適時の報告や情報公開を行うことについて示しています。第三段階では復旧・再発防止として、システム管理者や外部専門組織と協力して迅速な復旧作業や根本的な再発防止策を検討することについて説明しています。
3.「中小企業のためのセキュリティインシデント対応の手引き」を付録に追加
さらに、中小企業が非常時にすぐ手元で活用できるよう、インシデント対応の手引き書を新たな付録として追加しました。8ページの冊子で、インシデント対応時に整理しておくべき事項のリストや、「検知・初動対応」「報告・公表」「復旧・再発防止」といった基本ステップごとのアクションを示しています。さらに、「ウイルス感染・ランサムウェア感染の場合」「情報漏えいの場合」「システム停止の場合」といった場合ごとに1ページずつ解説するほか、相談窓口や報告先も紹介しています。
IPAは、本ガイドラインを多くの中小企業が活用することで、情報セキュリティ対策への取り組みが進み、経済社会全体のサイバーリスク低減につながることを期待しています。