中小企業における情報セキュリティポリシーの必要性とは?
自社の現状を把握し、危機管理に備えるポイントを解説

みなさんの会社では、情報セキュリティポリシーを策定されているでしょうか?「必要性は理解しているけれど実はよくわからない」という方がいれば、「そんな言葉、初めて聞いた」という方も少なくないと思います。今回は、頭にクエスチョンマークを浮かべているみなさんに、情報セキュリティポリシーの必要性や情報セキュリティ対策のポイントについて解説します。

今回のケース

情報セキュリティ対策の一環で、社内で情報セキュリティポリシーを策定する必要性を感じてはいるが、どうすればよいかわからない。

( 1 ) 情報セキュリティポリシーとは?

総務省によると、情報セキュリティポリシーとは、「情報の機密性や完全性、可用性を維持していくために規定する組織の方針や行動指針をまとめたもの」です。同省の「国民のための情報セキュリティサイト」では、以下のように述べられています。

情報セキュリティ対策は画一的なものではなく、企業や組織の持つ情報や組織の規模、体制によって、大きく異なります。つまり、業務形態、ネットワークやシステムの構成、保有する情報資産などを踏まえた上で、その内容に見合った情報セキュリティポリシーを作成しなければなりません。

参照:総務省「国民のための情報セキュリティサイト|企業・組織の対策」

このことからも、それぞれの企業が自社に見合った情報セキュリティ対策を立てる必要があることがわかります。

( 2 ) 情報セキュリティポリシー策定のポイント

情報セキュリティポリシーを策定し、適切な情報セキュリティ対策を実施するにあたって、気をつけたいのは以下のようなポイントです。

〈事業内容や経営規模に見合ったものにする〉

先に触れたように、情報セキュリティポリシーはそれぞれの会社に見合ったものであることが理想的です。「よそがやっているから、うちもやった方がいいのかな」ではなく、自社の事業内容や経営規模を踏まえたうえで策定していきましょう。

〈適応する範囲(対象者)を決める〉

情報セキュリティポリシーを守るべき人についても具体的に決めておきましょう。原則としては従業員が対象になると思われますが、場合によってはアウトソーシング(※1)先なども適応範囲に入るかもしれません。

〈何を守るべきか、情報資産を明確にする〉

これは情報セキュリティポリシー策定において重要な指針です。守るべきものを明確にしてこそ、防犯システムやネットワークセキュリティの強化など取り組むべき課題が見えてきます。

※1 アウトソーシング:業務の一部を社外の協力先に発注すること。外部委託。

( 3 ) 万全の危機管理でブランドイメージを守る

情報セキュリティ対策を行い、さまざまな脅威から自社の情報資産を守ることは、企業にとって重要な経営課題です。IPA(独立行政法人 情報処理推進機構)では情報資産を「価値」がある情報として定義していますが、企業にとってどのようなものが情報資産になるのか、一例を見てみましょう。

  • 顧客や社員に関する個人情報
  • 企業の事業計画や財務情報
  • 技術ノウハウや製品開発情報
  • 仕入先や販売先の情報
  • 社内システムのソースコードやOS、ネットワーク情報など
万全の危機管理でブランドイメージを守る

これらの情報資産に対する脅威は、インターネットを通じてやってくる場合もあれば、窃盗やうっかりミスによる情報漏洩など身近なところにも潜んでいます。だからこそ企業としては情報セキュリティ対策に必要なツールを導入する、あるいは社員の情報セキュリティに対する意識向上に取り組むなど、万全の危機管理を行う必要があります。
いざというときのために備えておくことで、顧客や取引先からの信頼性やブランド力も向上します。もしもそれを怠っていれば、被害が外部の関係者に波及したり、企業ブランドイメージのダウンにつながったりすることも考えられます。

( 4 ) 情報セキュリティ現状診断からスタート

現状で情報セキュリティ対策を何もしていないという企業はないでしょう。そこでまずは、自社の現状把握からスタートしてみることをおすすめします。
サクサでは、情報セキュリティ現状診断をWebサイト上に公開しています。以下のような20の質問項目に「はい」または「いいえ」で答えるだけで、簡単に診断ができます。

〈質問例〉

  • 業務で使用するパソコンにウイルス対策ソフトを導入し、ソフトのバージョンは常に最新の状態にしていますか?
  • メール誤送信防止や添付ファイルの自動暗号化など、メールのリスク対策を行えるアプリや機器を導入していますか?
  • 事故や災害によるデータ損失を防ぐため、社内の重要データのバックアップを実施していますか?
  • 社内への第三者の侵入を防ぐため、監視カメラやオートロックなど防犯対策を実施していますか?
  • 社内・社外のネットワークの脅威を理解し、UTM(※2)など対策機器を導入していますか?

そして最後に、御社の情報セキュリティ度を100点満点中何点かで表します。自社の現状を把握すると同時に、今後どのような対策が必要かも見えてきます。この結果をもとに、具体的な対策の検討や導入を行うことで、より万全な情報セキュリ対策を講じることができます。

※2 UTM:Unified Threat Managementの略。複数のセキュリティ機能を一つに集約した製品のこと。統合脅威管理。

( 5 ) まとめ

企業を狙うサイバー攻撃はますます多様化しています。オフィスを襲う犯罪の手口も巧妙化しています。情報セキュリティポリシーを策定し、しっかりした情報セキュリティ対策を行うことは、企業活動における重要なリスクマネジメントといえます。情報漏洩やデータの消失など、取り返しがつかないことになる前に、適切な対策を立てましょう。そのためにも、まずは自社の現状把握から始めてみてはいかがでしょうか。サクサの情報セキュリティ現状診断を、ぜひお気軽にご活用ください。

経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。

お役立ち資料一覧はこちら