コロナ禍を経て情報セキュリティへの対策と意識の高まり
2023年、IPA(独立行政法人情報処理推進機構)が、中小企業の情報セキュリティ対策に関する検討を行い、より具体的な対策を示す「中小企業の情報セキュリティ対策ガイドライン」を公開しました。
この改定は2019年以来となる3年ぶりのことです。
主な改定箇所
新型コロナウイルス感染防止策によるテレワークの普及や、DX 推進の両輪としての情報セキュリティ対策といった社会動向の変化などを踏まえ、具体的な対応策を盛り込むための改訂を行いました。例えば実践編において、テレワークを安全に実施するためのポイントやセキュリティインシデント発生時の対応を具体的な方策として追加しました。また、付録として新たに「中小企業のためのセキュリティインシデント対応の手引き」を追加しました。
IPAのHPより引用
このように、コロナ禍で一気に普通になった「リモート」とその前から推進している「DX」に関わる部分が主な変更点となっています。
セキュリティについての課題
当方でもセキュリティに関するご相談を受ける機会が増えました。一番の悩みは「どこから、何をやってよいか分からない」という点です。IT領域はテクノロジーの話が理解を難しくし、言葉も横文字ばかりで抵抗感が強いとよく言われます。
分からないから放っておこうという訳にもいかないのがセキュリティ対策です。
特にBCP(事業継続計画)や災害対策にも関連する点があるため、考える観点が多くなります。
まずはセルフチェックから
「何から手を付ければ・・・」と思われている方は、現状の社内のセキュリティ対策で何が不足点しているか、まずは自分で確認することから始めましょう。先述の情報セキュリティ対策ガイドラインは約70ページあり、全て読むだけでも大変労力が必要です。そのためか、まずは簡易に診断ができる様に、「5分でできる情報セキュリティ診断」が出されています。
このチェックシートは、4段階評価になっていますが、「分からない」を選択するとマイナス評価(減点)になる様に設定されています。これは「実施できていない」の0点より悪い評価で、「分からない」はやっていないより「リスクが大きい」という評価をしています。
評価項目としては、オンラインで3領域で全25問に応えると下図の様なレーダーチャートが出力されます。
サイトはこちら:https://security-shien.ipa.go.jp/diagnosis/selfcheck/index.html
業界平均との比較ができ、自社の弱い点、わからない点が棚卸できるので、簡易な現状把握に利用できます。
経営者の意識改革がスタート
「セキュリティなんて2の次。当面の売上が重要!」というお話を聞くこともあります。
確かに、ITは「攻めのIT」と「守りのIT」と分けて表現されることがあります。
攻めのITは、会社の売上や利益を増やしたり、会社のPRにつながるものを指します
一方で守りのITは、会社の利益には直結しないものの、やらなければならないものを指します。
上記の分類では、一般的にはセキュリティ対策は守りのITに分類されます。
しかし、中小企業に関してはセキュリティ対策を十分に行えている企業はまだ少ない状況です。
しかも、大手企業は取引先にもセキュリティ対策が十分になされている事を担保しなければなりません。
その中で、「当社はセキュリティ対策が十分にできている」と胸を張っていう事ができれば、営業活動としてもアピールポイントとすることができます。
コストだと思っていたセキュリティ対策が売上拡大につながる可能性が出来てます。
経営者が「分からない」から「わかる事から始める」と意識を変え、「セキュリティ対策は攻めの経営」いう考え方を会社として示すことで組織としての変化が可能になります。
この機会にセキュリティチェック、そしてセキュリティ対策に取り組んでみてはいかがでしょうか。