この制度は、政府が2017年度補正予算として計上した「サービス等生産性向上IT導入支援事業(通称:IT導入補助金)」の申請要件として認められました。補助金は、13万5,000社への公布が見込まれています(2018年4月末時点の宣言企業数は636社)。
補助金の存在は普及促進を後押ししますが、制度を積極的に活用することで、セキュリティ強化に向けた取組みを産業社会に明示できるメリットにも着目したいものです。
大企業や企業グループが協力会社を選定する際、情報マネジメントシステム認証の「ISMS」や、決済業界の国際セキュリティ基準である「PCI DSS」の認証取得を条件にすることがあります。
「Security Action」は、二つの基準のような認証制度と違い、自己宣言の制度ですから、効力としては弱いとしても、今後は事業者選定の一つの目安として機能していくものと期待できます。また、IPAも期待する効果の一つに挙げていますが、名刺やWebサイト、製品カタログなどにロゴマークを明示することで、セキュリティに対する社内意識の向上にもつながるのではないでしょうか。
セキュリティ対策の現状を集約した「情報セキュリティ白書」
情報セキュリティの分野は、日々、新しい脅威が発生し、それを阻止する技術と手法が後を追い、目まぐるしく動いています。セキュリティ技術に限りませんが、その領域の大きな流れを押さえておくには、欠かせない情報が存在します。その一つは、国の関係機関や主要な業界団体が発表する調査報告です。
2018年7月17日、情報セキュリティに関する情報が集まるIPA(独立行政法人 情報処理推進機構)から、「情報セキュリティ白書 2018」が発行されました。同白書では、2017年度におけるセキュリティインシデントの状況、政府や経済産業省、警察などの関係機関の活動内容、安全対策を強化するためのガイダンス情報やツールの紹介などが、体系的にまとめられています(図1)。
全体で230ページほどのボリュームがあり、すべてを読むには時間がかかりますが、お急ぎの方は冒頭の『「情報セキュリティ白書 2018」の刊行にあたって』と目次全体に目を通すと、いまの情報セキュリティの現状と課題、それに向けた対策に関する大きな傾向はつかめるかと思います。
今年は「中小企業の安全対策」もテーマ
「白書」は毎年発行されていますが、その時期に大きく動いた分野、特に課題が増えた領域を「個別テーマ」として設定しています。今年度版の特徴の一つは、IoTや仮想通貨などと並んで、「中小企業における情報セキュリティ」が採り上げられたことです。
IoTや仮想通貨は、特にここ2~3年で多くの人と企業が関わるようになり、課題も増えた分野ですが、中小企業におけるセキュリティ対策自体は、インターネットのビジネス利用が本格化した時期から指摘されてきました。特に新しい話ではありません。
今回、セキュリティ白書のテーマとして抽出された理由は、経済産業省や総務省などの関係機関、IPAのような組織が続けてきた活動が、必ずしも期待された効果を生んでいないこと、そして攻撃メール対策などの領域では、先鋭化する攻撃に対応が追いつかず、事態はむしろ悪化しているためと考えていいでしょう。
安全対策の“最大公約数”をつかむ
中小企業がセキュリティ対策を進めるに際し、“何から手を付けたらいいか分からない”、“どこまでやればいいか判断が難しい”、“専任のセキュリティ担当者を置けない”、“予算が足りない”といった課題は、以前から指摘されてきました。
中小企業が抱える構造的な課題もあって、決定打には欠けるとしても、今回の白書の当該パートには、中小企業が置かれた状況を分析した上での、“最初の一歩”、“次の一歩”を踏み出しやすくするためのノウハウが書かれています。
言い換えると、いまの中小企業が抱えるセキュリティ対策における課題の平均値、実践方法の最大公約数と位置付けることができるでしょう。
IPAや国の関係機関の支援策を提示
「情報セキュリティ白書 2018」の「3.5 中小企業における情報セキュリティ」から読み取れることは、以下の3点に集約できます。
1.中小企業のセキュリティ被害が多発
2.自社のセキュリティ対策を不安視している企業は多い
3.安全対策を支援するための情報やツールは年々充実
例えば、2.自社の現状のセキュリティ対策に対する見方では、「十分ではないと思っている」企業が68%。不足しているとした理由は、「経費不足」「セキュリティの専門家を置けない」が多く、中小企業の構造的な課題も大きいようです。
このような現状、セキュリティ被害の多発と、中小企業が抱える課題に対して、経済産業省などの国の関係機関、業界団体などが、いろいろな支援策を提示しています。
セキュリティ対策の実行を自己宣言
今回の白書で示された代表的な支援策として、「Security Action」があります。「Security Action」は、中小企業のセキュリティ対策強化のために作られた制度で、「中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度」。IPAが公開している「中小企業の情報セキュリティ対策ガイドライン 第2.1版」(後述)の内容を元に、それぞれの企業が取り組んでいる行動の証として、「Security Action」のロゴマーク(図2)を使って宣言するというものです。
具体的なステップは以下のようになっています。
一段階目:「情報セキュリティ5か条」に取り組むことを宣言。
二段階目:「5分でできる! 情報セキュリティ自社診断」で自社の状況を把握し、「情報セキュリティポリシー(基本方針)」を定め、外部に公開したことを宣言。
このように、「Security Action」には2段階があり、一段階目で「★ 一つ星」、二段階目で「★★ 二つ星」のロゴマークを使用できます。
図2.「Security Action」で使用できるロゴマーク。
「Security Action」に着目する意義は?
「Security Action」に関するより詳細な情報は、関連サイトを見ていただくとして、ここで採り上げた理由は大きく二つあります。
一つは、「OSやソフトウェアは常に最新の情報にしよう」「ウイルス対策ソフトを導入しよう」など、「★ 一つ星」に含まれる「情報セキュリティ5か条」(項目は図2に記載)には、基本的な対策が集約されている点。日々報告されるセキュリティインシデントに関するニュースに接していると、「5か条」のうちのどれかの不備を突く攻撃が圧倒的に多いことに気づかされます。
また、「★★ 二つ星」のマークを使う条件である「情報セキュリティの自社診断」や「情報セキュリティポリシーの整備」の工程も、安全対策を強化する上で重要であることは言うまでもありません。
そしてもう一つの理由は、多くの中小企業にとって「Security Action」が、積極的に利用するに値する制度と見られている点です。
「Security Action」を“攻め”の一手に
この制度は、政府が2017年度補正予算として計上した「サービス等生産性向上IT導入支援事業(通称:IT導入補助金)」の申請要件として認められました。補助金は、13万5,000社への公布が見込まれています(2018年4月末時点の宣言企業数は636社)。
補助金の存在は普及促進を後押ししますが、制度を積極的に活用することで、セキュリティ強化に向けた取組みを産業社会に明示できるメリットにも着目したいものです。
大企業や企業グループが協力会社を選定する際、情報マネジメントシステム認証の「ISMS」や、決済業界の国際セキュリティ基準である「PCI DSS」の認証取得を条件にすることがあります。
「Security Action」は、二つの基準のような認証制度と違い、自己宣言の制度ですから、効力としては弱いとしても、今後は事業者選定の一つの目安として機能していくものと期待できます。また、IPAも期待する効果の一つに挙げていますが、名刺やWebサイト、製品カタログなどにロゴマークを明示することで、セキュリティに対する社内意識の向上にもつながるのではないでしょうか。
支援ツールをフルに活用しよう
「3.5 中小企業における情報セキュリティ」の後半では、「Security Action」のベースになる「中小企業の情報セキュリティ対策ガイドライン 第2.1版」(図3)や、サイト上で情報提供を行う「情報セキュリティ対策支援サイト」、東京都産業労働局や地方自治体が編纂したガイドブックの内容が紹介されています。
図3.「中小企業の情報セキュリティ対策 ガイドライン 第2.1版」
どのアイテムも、情報セキュリティ対策に向けた支援ツールとして有効なものですが、特に「中小企業の情報セキュリティ対策ガイドライン 第2.1版」は、分かりやすく実践的なツールとして多くの企業が参照しています。
「セキュリティ白書」を起点に行動を起こす
ここから先は、「情報セキュリティ白書 2018」の内容を踏まえて、それぞれの企業が安全対策を形にする手順を、もう少し具体的に考えてみましょう。
「Security Action」のような宣言、また「ISMS」に代表される認証制度は、言うまでもなく、宣言や認証の取得自体が目的ではありません。特に認証制度は、企業としてのコンプライアンス(法令順守)、認証を取る作業が優先してしまい、肝心要の現場での安全対策の実践とその維持が疎かになってしまう弊害が指摘されることもあります。
このような混乱を避け、足元の安全を固めていくには、徹底した“基本の見直し”、そして“その状態の維持”を心がけることです。「Security Action」の第一歩、「情報セキュリティ5か条」を実践し、かつそれが確実に実行されているか否かを日常業務の一環としてチェックする。ここはやはり、すべての企業に共通する安全対策の前提です。
「5カ条」を起点にさらなる強化を
「5か条」は“前提”ですが、これだけで十分とは言えません。「情報セキュリティ白書 2018」でも、「第1章 情報セキュリティインシデント・脆弱性の現状と対策」で詳述されていますが、いまは企業の規模を問わず、「ランサムウェア」「脆弱性を突く攻撃」「標的型攻撃」「ビジネスメール詐欺」「フィッシング」など、さまざまな脅威が、毎日、降りかかってきています。
「情報セキュリティ5カ条」の5番目は、「脅威や攻撃の手口を知ろう!」でしたが、十分な対策を実践するには、ここが起点になることは言うまでもありません。また、企業から情報が漏えいする原因は、サイバー攻撃以外にも、メールソフトの誤操作やシステムの管理ミス、内部不正も多くを占めることがわかっています(図4)。
図4.情報漏えい事件の分類
(Verizon 社「2018 Data Breach Investigations Report」を基にIPAが編集したもの)
「情報セキュリティ5か条」の実践を土台として、さまざまなサイバー攻撃に対する防御に加え、社内の管理体制の強化も考慮していく必要があるのです。
そこで安全対策をもう一歩進めるガイドラインとして活用できるのが、脆弱性対策、ウイルス対策、電子メールのルールなどの項目をチェックする「5分でできる! 情報セキュリティ自己診断」(「Security Action」の「二つ星」の提示に必要な要素の一つ)です。
統合セキュリティ管理の発想を
国内の企業数の99%以上は中小企業です。そして中小企業の多くは、電子メール、ホームページ、ネットバンキングなど、ICTを利活用しています。冒頭でも触れましたが、白書によると調査対象の企業の68%が、多くの情報ツールを活用しながら、「セキュリティ対策は十分ではない」と認識しています。
「情報セキュリティ白書 2018」を起点に、「情報セキュリティ5か条」を確実に実践して土台を形成。その上で、「5分でできる! 情報セキュリティ自己診断」をチェックし、メールセキュリティをはじめ、管理ミスや誤操作による情報漏えいの防止、確実なデータバックアップなどの視点から、情報システムを見直していってはいかがでしょうか。