情報処理推進機構(IPA)は4月26日、「中小企業の情報セキュリティ対策ガイドライン」の改訂版(3.1版)を公開した。約4年ぶりの改訂で、テレワークとインシデント対応の具体的な内容を新たに盛り込んだ。
同指針は、中小企業の経営者や実務担当者が情報セキュリティ対策の必要性を理解して、情報を安全に管理するための具体的な手順などを示したもの。経営者が認識すべき「3原則」と実行すべき「重要7項目の取り組み」、実務担当者向けの情報セキュリティ対策の具体的な進め方の2部構成となっている。
今回の改訂では、「テレワークの情報セキュリティ」と「セキュリティインシデント対応」の2つを追加した。
テレワークの情報セキュリティでは、(1)テレワークで使用するシステム構成や機器に関する方針検討、(2)方式や機器、場所ごとの留意点、(3)セキュリティに関するルールや規定の重要性――3段階でテレワークにおける情報セキュリティ対策の検討事項を解説している。具体的な実現方法を手順書レベルに落とし込んだ「情報セキュリティハンドブック(ひな形)」と「情報セキュリティ関連規程(サンプル)」も付属した。
テレワークでの3つのステップ(「中小企業の情報セキュリティ対策ガイドライン」より抜粋)
セキュリティインシデント対応でも、(1)検知・初動対応で速やかに情報セキュリティ責任者への報告を行うことや被害を拡大させないための対応、(2)顧客や関係者、行政機関、一般およびメディアなどへ必要に応じて適時の報告や情報公開を行うこと、(3)復旧や再発防止としてシステム管理者や外部専門組織と協力して迅速な復旧作業や根本的な再発防止策を検討すること――の3段階で検討事項を解説する。
インシデント対応での3つのステップ(「中小企業の情報セキュリティ対策ガイドライン」より抜粋)
また、非常時に中小企業がすぐ手元で活用できるよう「インシデント対応の手引き書」を付録として追加。インシデント対応時で整理しておくべき事項のリスト、基本ステップごとのアクション、ウイルス感染やランサムウェア感染、情報漏えい、システム停止といったケースごとの解説や相談窓口、報告先を紹介している。
