コストをかけずに情報セキュリティ対策ができる SECURITY ACTION

今回は中小企業・個人事業主向けとなりますが、情報セキュリティに対して、比較的簡単に始めることができる SECURITY ACTION の取り組みをご紹介します。

事業者が取れる情報セキュリティ対策として考えられるのは、認証制度を取得することです。プライバシーマークやTRUSTe、ISMSなど内容や領域が異なる制度がいくつかありますが、どれも費用がかかり、取得には時間も手間もかかるため、一定規模以上の事業者でないと現実的に取得は難しいです。

一方、今回ご紹介する SECURITY ACTION は費用がかからず、始めるハードルが低いため、小規模事業者においても比較的取り組みやすいかと思います。

SECURITY ACTION とは

IPA（独立行政法人 情報処理推進機構）が推し進める、中小企業が情報セキュリティ対策に取り組むことを企業自ら宣言する制度が SECURITY ACTION です。

「SECURITY ACTION」は中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度です。安全・安心なIT社会を実現するために創設されました。

SECURITY ACTIONとは？ : SECURITY ACTION セキュリティ対策自己宣言

プライバシーマークやISMS等の認証制度は取得するハードルが高く現実的に中小企業でも取得するのは難しいことが多いですが、 SECURITY ACTION は取得ではなく自己宣言の制度となるため、今まで情報セキュリティ対策に取り組んでこなかった中小企業でも比較的始めやすい制度となっています。

中小企業は情報セキュリティ対策が不可欠

政府は2017年に「働き方改革実行計画」を公開しました。主な内容は以下です。

• 同一労働同一賃金など非正規雇用の処遇改善
• 賃金引上げと労働生産性向上
• 罰則付き時間外労働の上限規制の導入など長時間労働の是正
• 柔軟な働き方がしやすい環境整備
• 女性・若者の人材育成など活躍しやすい環境整備
• 病気の治療と仕事の両立
• 子育て・介護等と仕事の両立、障害者の就労
• 雇用吸収力、付加価値の高い産業への転職・再就職支援
• 誰にでもチャンスのある教育環境の整備
• 高齢者の就業促進
• 外国人材の受入れ

ICT利活用が役立つと期待されている箇所を太字で示しました。一例として、以下により長時間労働の是正や労働生産性の向上、柔軟な働き方ができる環境整備等が期待できます。

• テレワークの導入
• 各種パソコン・モバイル端末の導入
• ウェブサイト・EC・SNSの構築
• クラウドの業務システムやコミュニケーションツールの導入

これらの取り組みは情報セキュリティ対策が不可欠です。例えばテレワークだと社内とは異なるため業務に関係のないSNSやウェブサイトへアクセスすることもでき、ウイルス感染やパソコン乗っ取りといった被害も出ています。

テレワークのセキュリティ事故の事例5つ｜原因から学ぶ対策法を紹介｜サービス｜法人のお客さま｜NTT東日本

また、ウェブサイトを WordPress 等CMSで構築した場合に起こりえる脆弱性によるマルウェア感染や乗っ取り、ECサイトの顧客情報流出、SNSの情報漏洩などのリスクもあります。

さらに、CRMシステムやクラウドコミュニケーションツールの導入はメリットは多いものの、セキュリティの面ではマルウェア感染や情報漏えいといったリスクもつきものです。

これからますますICT利活用が進められていく時代を考えると、特に個人事業主・中小企業はセキュリティ対策を取っておかないといつ大きな被害や重大な事故が発生してもおかしくありません。

まずは一つ星から始める

よって、まずは簡単に始められる情報セキュリティ対策として、SECURITY ACTION をお勧めします。SECURITY ACTION には取り組む内容に応じて「一つ星」と「二つ星」があります。まずはこの「一つ星」から取り組むことで、最低限の情報セキュリティ対策を始めることができます。

一つ星は情報セキュリティ5か条に取り組むことで宣言可能です。

1. OSやソフトウェアは常に最新の状態にしよう！
2. ウイルス対策ソフトを導入しよう！
3. パスワードを強化しよう！
4. 共有設定を見直そう！
5. 脅威や攻撃の手口を知ろう！

次に二つ星へ取り組む

すでに一つ星程度の情報セキュリティ対策を取っている場合や、一つ星を宣言してさらにステップアップする場合の次のアクションとして、二つ星の取り組みがあります。

まずは、5分でできる！情報セキュリティ自社診断により自社の情報セキュリティ対策の取り組みをチェックしましょう。自己宣言申込みサイトの点数欄への入力は任意となり、診断結果や点数を審査することはないと明記されています。

次に、情報セキュリティ基本方針の策定を行います。サンプル(docx)を参考にして作ります。ちなみに弊社はサンプルを参考に情報セキュリティ基本方針を策定し公開しました。

SECURITY ACTION で情報セキュリティ対策を始める

上記で取り組んだ後は取り組んだという証として、SECURITY ACTION のロゴマークが利用可能です。

SECURITY ACTION自己宣言者サイトから事業者情報等を入力し、規約を確認することでロゴマークのダウンロードが可能です。宣言後、登録されると事業者一覧にも掲載されます。

いきなりプライバシーマークやISMS、TRUSTe といった情報セキュリティ認証制度の取得はコスト的にも内容的にもハードルが高いという場合も多いと思います。経営陣が取り組みたくても、従業員の理解が得られないことも想定できます。

よってまずは SECURITY ACTION の一つ星宣言から始めることで、社内の情報セキュリティの意識を高めることに繋がります。

さらに二つ星を宣言することで、「弊社はセキュリティ対策に取組んでおり安全です」とアピールになります。その上、情報セキュリティ基本方針ページを公開することで、対外的にも安心した取引ができる材料になり、新規顧客の開拓につながる可能性もあります。

「情報セキュリティ対策は特に何も行っていない」という会社の経営陣、または努めている会社がそういった場合は、はじめやすい SECURITY ACTION を宣言することを推奨します。