対策が具体的に--IPAの「中小企業の情報セキュリティ対策ガイドライン」を読む

河野省二(ディアイティ)

2016-12-06 07:00

 2015年末に経済産業省が提供している「サイバーセキュリティ経営ガイドライン」。この中では3原則の一つとして「自社はもちろんのこと、系列企業やサプライチェーンのビジネスパートナー、 ITシステム管理の委託先を含めたセキュリティ対策が必要」と記載されています。

 本来であればすべての企業がサイバーセキュリティ経営ガイドラインを参考にしてサプライチェーンでのセキュリティガバナンスを構築していけば良いのでしょうが、ガイドラインの対象は自社で情報システム部門を持つような企業であり、多くの中小企業は当てはまりません。とは言うものの、サプライチェーンでの情報セキュリティガバナンスは重要な要件であり、中小企業も実施が求められます。

 これらの課題を解決するための一つの方策として、独立行政法人情報処理振興機構(IPA)が「中小企業の情報セキュリティガイドライン 第2版(ガイドライン)」を配布しています。


ガイドラインの活用範囲

 このガイドラインは、サイバーセキュリティ経営ガイドライン同様に経営者の視点と実務者の視点で記載されています。特に、情報セキュリティが経営課題であることを再確認するためのさまざまな要件が記載されており、担当者が情報セキュリティについて経営者に説明するための良い資料と考えます。

 これまでは情報セキュリティのサプライチェーンは大企業が実施している情報セキュリティ対策をそのまま実施するように言われていた中小企業も、情報セキュリティの目的を共有することで、自らの組織に最適なセキュリティ対策を実施できるようになると思います。

中小企業の情報セキュリティガイドライン 第2版の構成

 本ガイドラインは、サイバーセキュリティ経営ガイドラインをさらに読みやすく実例を取り入れたものであり、中小企業だけではなく大企業の担当者の参考にもなります。

 以下のような構成になっており、付録やツールを活用することでガイドに記載されている内容を実践できるようになっているのも特長です。


 このガイドラインでは情報セキュリティマネジメントの規範として、JIS Q 27001や27002を参考にしており、ISMS認証を取得している企業とのサプライチェーンが円滑に構築できるようになっています。

 このガイドラインを活用することで、これまでに実施してきたセキュリティマネジメントを見直せるだけでなく、これからセキュリティマネジメントを始めるという企業にとっても有用なステップが記載されています。情報セキュリティへの取り組みをどのように始めるべきか、どのような作業があり、どの程度の工数がかかるのかがわからないという担当者に十分に参考になると思います。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]