中小企業に向けた情報セキュリティ対策ガイドライン改版

昨今、インターネットを利用したB2B、B2C取引が企業の規模にかかわらず一般的になっています。中小企業も積極的に利用するようになっていますが、予算などの問題から、大企業に比べて十分なセキュリティ対策が行えないケースが少なくありません。

このような状況の中、セキュリティベンダーが、2019年の脅威として「サプライチェーンの弱点が狙われること」を強く警告しています。経済産業省が2015年に公表した「サイバーセキュリティ経営ガイドライン」の中で、「自社のみならず、系列企業やサプライチェーンのビジネスパートナーなどを含めたセキュリティ対策が必要」と注意を促していましたが、2019年の10大脅威として取り上げられるなど、具体的な脅威となってきています。大企業のセキュリティ対策が進んできた中で、いまだに中小企業の経営者のセキュリティ意識が薄く、十分な対策がとられていないことで、攻撃者のターゲットが中小企業に移ってきており、実際に中小企業を起点としたサプライチェーン全体のセキュリティ侵害事件が発生したケースがあります。

独立行政法人情報処理推進機構(IPA)も『サプライチェーンを構成する中小企業においては発注元企業への標的型攻撃の足掛かりとされる懸念も指摘されており、早急な対策実施が必須である』との考えを表明しており、2019年3月に中小企業の情報セキュリティ対策ガイドラインを2年4ヶ月ぶりに改版しました。このガイドラインは、「3原則」「重要7項目の取組」などセキュリティの要素をシンプルに整理し、情報セキュリティ対策の取り組み方法についても、できるところから始めることを推奨するなどの工夫がされていました。今回の第3版では、中小企業の経営者に向けて専門用語を使わずにわかりやすい表現にされています。また、クラウドサービスを安全に利用するための留意事項やチェック項目が追記され、付録として新たに「中小企業のためのクラウドサービス安全利用の手引き」が追加されています。

2019年は、こうしたガイドラインを有効活用して中小企業のセキュリティを堅牢化することが必須と考えられます。

《参考情報》