事例Use case

中小企業の経営者は必見。補助金ももらえるかも?!誰もが一度は目を通すべき「SECURITY ACTION」の中身

2019.11.27

ツイート シェア 送る はてブ

情報処理推進機構(IPA)が、中小企業に向け、自らが対策に取り組んでいると自己宣言する「SECURITY ACTION」を提案しているのをご存知でしょうか。IPAはITセキュリティに関する情報発信をはじめ、IT人材白書などの調査報告書や「情報セキュリティ10大脅威」を毎年公開している、国内のIT施策実施の一翼を担う機関。そのIPAが提唱したこのプログラムは、もしかしたらあなたの会社にちょっとした、いや、かなりのプラスになることが隠されているかもしれません。

mainimg03.pngSECURITY ACTION セキュリティ対策自己宣言
https://www.ipa.go.jp/security/security-action/index.html

対策はまず「いまを知る」ことから

このプログラムは、企業組織が今の状況を知り、改善を自ら行うことで「★一つ星」もしくは「★★二つ星」のロゴマークを利用可能というものです。取り組む目標を決め、自己宣言をし、さらに上を目指すということを成し遂げた企業だけが、このロゴマークを利用することができます。

では、その目標とはどのようなものでしょうか?早速「★一つ星」を目指すための目標「情報セキュリティ5か条」を見てみましょう。

1. OSやソフトウェアは常に最新の状態にしよう!
2. ウイルス対策ソフトを導入しよう!
3. パスワードを強化しよう!
4. 共有設定を見直そう!
5. 脅威や攻撃の手口を知ろう!

これをみて、皆さんはどう感じたでしょうか。意外と簡単に思えたのではないかと思います。それは半分正解で半分間違い。実はこの5つを忠実に守るだけで、インターネットからやってくる脅威のかなりの部分が防げるはずです。しかし実際には毎日のようにサイバー犯罪の被害が報道されております。つまり、こういった基礎部分が、まだまだ抜け漏れてしまっているということなのです。

その意味で、このSECURITY ACTIONの取り組みは、もう一度基礎をしっかり見直し、現状を把握することから始めるべし、と訴えかけていると考えるといいでしょう。

皆さんの周りを見ても、もしかしたら「Windows Update」を億劫がって後回しにしてしまっている方がいませんでしょうか? パスワード管理が面倒で、全て同じパスワードにしていたり、組織内で共通のパスワードを使ってしまっていませんでしょうか? セキュリティは詳しい人に任せればいいや、と思っていませんでしょうか?実は、そここそがあなたの企業における「ITセキュリティの穴」なのです。

まずは下記の「情報セキュリティ5か条」(A4裏表1枚のパンフレット)をダウンロードし、組織内で目を通す時間をとってみてください。対策の方法も書かれていますので、10分もあれば全部の項目を把握することが可能です。

情報セキュリティ5か条(PDF)ダウンロード

fig01_1127.png図:「情報セキュリティ5か条」をダウンロードし、まずは自らの状況を知ろう



★SECURIEなら
実はこれらの基礎部分は、セキュリティW-Fiルーターである「SECURIE」でもカバーが可能な部分が多数あります。特に組織向けの「SECURIE SOHO」は、中小向け機能が満載ですので、特に調剤薬局や不動産業、税理士事務所など、重要なデータを扱う業種をはじめ、さまざまな業種の組織にマッチします。

SECURIE SOHOでは単一事業所内であれば無制限に「Bitdefender Total Security 2020」をインストールすることができますので、組織内の「ウイルス対策ソフトを導入」についてはこれ1台でクリアが可能。「OSやソフトウェアの状態チェック」や「脅威や攻撃の手口」に関しても、高度な検知技術と定期的な脆弱性診断を自組織に対して行うことで、不正アクセスを未然に防ぐことが可能です。


ここまでできたらもう★一つゲット!その先は?

SECURITY ACTIONの最初のステップ「★一つ星」を得る条件は、この「情報セキュリティ5か条」に取り組むことを宣言していること。5か条を知り、それに沿った行動をすることがいかに重要か、ここからもわかるかもしれません。

では、その先「★★二つ星」を目指すにはどうしたらいいでしょうか。この先は、IPAが公開している有用な資料「中小企業の情報セキュリティ対策ガイドライン」を見ていただければと思います。

中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html

いきなりハードルが高くなったと思うかもしれません。でも大丈夫、このうち「5分でできる!情報セキュリティ自社診断」をまず見てください。このドキュメントでは、情報セキュリィティ対策支援サイトにて提供されている「5分でできる!自社診断/ポイント学習」を利用し、自社の状態をさらに深く把握、その結果を元に企業組織が「情報セキュリティポリシー」を定め、それを公開することが次のステップなのです。

5分でできる!情報セキュリティ自社診断パンフレット(PDF)

fig02_1127.png図:5分でできる!自社診断を正直に答えてみる

では、まずは「5分でできる!自社診断」を使ってみましょう。これは自分の組織の状況、例えば「インターネットを介したウイルス感染や SNS への書き込みなどのトラブルへの対策をしていますか?」という問いに答えるだけで、今後どの部分の対策が必要なのかをガイドしてくれる機能です。レーダーチャートで自組織の状況を図示してくれるだけでなく、IPAがこれまで公開している無償の資料/ツールをガイドしてくれますので、その後のフォローアップも可能です。

fig03_1127.png

図;自社診断の結果はまず100点満点でのポイントが結果として得られる。同業種平均、全企業平均も表示可能なので、他社と比べて自社のレベルが高いか低いかも判断可能

fig041127.png

重要なのはポイントだけでなく、その対策。これまで公開されている資料へのリンクが一覧されるのはとても便利


★SECURIEなら
設問には「無線 LAN を安全に使うために適切な暗号化方式を設定するなどの対策をしていますか?」や「パソコンやスマホなど情報機器の OS やソフトウェアは常に最新の状態にしていますか?」といった、ITセキュリティの基礎部分を聞く項目があります。

セキュリティWi-Fiルーターである「SECURIE」ならば、最新の脅威を検知可能なIDS、IPS、DPIで組織を守ることができます。デバイスの脆弱性や弱いパスワードがあればその危険性を指摘しますので、管理者はその通知結果を元に調査を開始する"プッシュ形"でのセキュリティ対策が可能です。その先の「VPN」や「ブルートフォース攻撃(総当たり攻撃)対策」「フィッシング(なりすまし)対策」も、このSECURIEならばできるのです。


ここまできたら二つ星の取得も間近。この結果を把握した上で、自社組織が「情報セキュリティポリシー」を外部に向け公開し、宣言することがひとまずのゴールです。情報セキュリティポリシーもサンプル文が用意されていますので、これを組織に合わせ、修正し公開します。これこそが、あなたの組織が守るべき、情報セキュリティの根幹となるわけです。

ーーー
(以下、サンプルを引用)

株式会社○○○○(以下、当社)は、お客様からお預かりした/当社の/情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取り組みます。

1.経営者の責任
当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。

2.社内体制の整備
当社は、情報セキュリティの維持及び改善のために組織を設置し、情報セキュリティ対策を社内の正式な規則として定めます。

3.従業員の取組み
当社の従業員は、情報セキュリティのために必要とされる知識、技術を習得し、情報セキュリティへの取り組みを確かなものにします。

4.法令及び契約上の要求事項の遵守
当社は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守するとともに、お客様の期待に応えます。

5.違反及び事故への対応
当社は、情報セキュリティに関わる法令違反、契約違反及び事故が発生した場合には適切に対処し、再発防止に努めます。
ーーー

二つ星獲得するとお得なことも

宣言を行うことで、あなたの企業は見事SECURITY ACTIONの二つ星を獲得することができました。二つ星の獲得にIPAの審査などは必要なく、自らが宣言することのみで取得が可能です。それにより、SECURITY ACTIONのロゴマークをWebサイトや名刺、パンフレットなどに印刷が可能になりますので、対外的に自社のセキュリティ施策をアピールすることができるのです。ぜひ、二つ星を獲得しておきたいところですね。

fig05_1127.png図:SECURITY ACTIONのロゴマークは無料で利用可能


取組紹介 : SECURITY ACTION セキュリティ対策自己宣言
https://www.ipa.go.jp/security/security-action/activity/index.html

そして重要なのは、二つ星を獲得し、IPAから「自己宣言ID」を取得することで、各種IT導入補助金の申請が行えるようになっていることです。例えば平成30年度補正「IT導入補助金」や「サイバーセキュリティ対策促進助成金」の申請要件として、このSECURITY ACTIONが活用されていました(2019年分の補助金公募は終了)。このような特典があるのならば、取得した方が得であると経営陣にもアピールしやすいですね。

SECURITY ACTION セキュリティ対策自己宣言
https://www.ipa.go.jp/security/security-action/it-hojo.html

CLOUDIL 【クラウディル】 | 全国中小企業クラウド実践大賞
https://www.cloudil.jp/contest


組織だけではなく「家庭のIT管理者」にも効く?

このような取り組みは、何も組織だけではなく、ご家庭のネットワークでも重要です。企業組織内では普通の従業員だとしても、家に帰ったら「IT管理者」である方も多いと思います。もはや家庭でも、サイバー脅威のリスクは無視できません。もしかしたら、ご自宅でも上記のような「宣言」が必要なのかもしれません。

IPAのこれらのツールだけでなく、以前お伝えしたような無料で強力なドキュメントも多数登場しています。企業組織を、ご家庭をサイバー脅威から守るのは、もしかしたら「あなたの宣言」なのかもしれません。ぜひ、良いスタートを!


SECURIE SOHO powered by Bitdefender
【動画】https://securie.jp/soho/about/


執筆者

宮田 健(みやた たけし)
国内大手SI事業者、および外資系大手サポートにてエンジニア経験を積み、2006年にITに関する記者、編集者に転身。その後はアイティメディアのエンジニア向けメディア「@IT」編集者として、エンタープライズ系セキュリティに関連する情報を追いかける。 2012年よりフリーランスとして活動を開始し、"普通の人"にもセキュリティに興味を持ってもらえるよう、日々模索を続けている。
個人としては"広義のディズニー"を取り上げるWebサイト「dpost.jp」を運営中。公私混同をモットーにITとエンターテイメントの両方を追いかけている。 著書に「Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!」(MdN)、「デジタルの作法 1億総スマホ時代のセキュリティ講座」(KADOKAWA/中経出版)がある。