セキュリティガイドライン
活用すべきセキュリティガイドライン
セキュリティ対策をゼロから考える必要はありません。国内外の信頼できる機関が公開しているガイドラインを活用することで、効率的かつ網羅的な対策が可能になります。ひとり情シスが特に参考にすべきガイドラインを紹介します。
IPAセキュリティアクション
IPA(独立行政法人 情報処理推進機構)が推進する中小企業向けの自己宣言制度です。
一つ星(★)の宣言内容(情報セキュリティ5か条):
- OSやソフトウェアは常に最新の状態にしよう
- ウイルス対策ソフトを導入しよう
- パスワードを強化しよう
- 共有設定を見直そう
- 脅威や攻撃の手口を知ろう
二つ星(★★)の宣言:
- 「中小企業の情報セキュリティ対策ガイドライン」の付録にある「5分でできる!情報セキュリティ自社診断」を実施
- 自社の情報セキュリティポリシーを策定・公開
宣言はIPAのWebサイトから無料で行え、SECURITY ACTIONのロゴマークを自社サイトや名刺に掲載できます。IT導入補助金の申請要件にもなっています。
NISCガイドライン
NISC(内閣サイバーセキュリティセンター)は、政府機関だけでなく民間向けのガイドラインも公開しています。
- 「サイバーセキュリティ経営ガイドライン」(経済産業省・IPAと共同):経営者が認識すべき3原則とCISO等への10の指示事項
- 「インターネットの安全・安心ハンドブック」:従業員教育に使える平易な解説書
- 「サイバーセキュリティ関係法令Q&A ハンドブック」:法令面の疑問を解消
CIS Controls
CIS(Center for Internet Security)が公開する、優先度付きのセキュリティ対策フレームワークです。18の管理策が定義されており、実装グループ(IG)で組織規模に応じた優先度が示されています。
| IG | 対象 | 管理策数 |
|---|---|---|
| IG1 | 小規模組織・基本的な対策 | 56項目 |
| IG2 | 中規模組織・標準的な対策 | 74項目(IG1含む) |
| IG3 | 大規模組織・高度な対策 | 153項目(IG1+IG2含む) |
中小企業はIG1から着手するのが適切です。IG1の主な管理策には以下が含まれます。
- 資産のインベントリ管理(ハードウェア・ソフトウェア)
- データの分類と保護
- アクセス制御の構成
- アカウント管理
- 脆弱性管理
- 監査ログの管理
- メールとWebブラウザの保護
- マルウェア対策
- データ復旧
- セキュリティ意識向上訓練
中小企業向け対策の優先順位
すべてのガイドラインを一度に実施するのは非現実的です。ひとり情シスとして、以下の優先順位で取り組むことを推奨します。
- 最優先:OSとソフトウェアのアップデート、ウイルス対策、MFAの導入
- 高優先:バックアップの3-2-1ルール実施、パスワードポリシーの強化
- 中優先:セキュリティポリシーの策定、従業員教育の実施
- 通常:ログ管理の整備、インシデント対応計画の策定
- 発展:ISMS構築の検討、ゼロトラストの段階的導入
大切なのは完璧を求めすぎないことです。「できることから一つずつ」が中小企業のセキュリティ対策の鉄則です。IPAのセキュリティアクション一つ星から始めて、着実にレベルアップしていきましょう。
✅ 完了済み