経営者が押さえるべき「情報セキュリティ5か条」― 「当たり前」を徹底できていますか? ―

 情報処理推進機構(IPA)が公開している「中小企業の情報セキュリティ対策ガイドライン」に付録1として「情報セキュリティ5か条」があります。この「情報セキュリティ5か条」は、企業や個人が最低限取り組むべき基本的なセキュリティ対策を分かりやすくまとめた指針です。

専門的で高度な対策を求めるものではなく、
「まずはここから確実に実践しましょう」という基本の徹底を目的としています。

その内容は次の5つです。

  1. OSやソフトウェアは常に最新の状態にしよう
  2. ウイルス対策ソフトを導入しよう
  3. パスワードを強化しよう
  4. 共有設定を見直そう
  5. 脅威や攻撃の手口を知ろう

「情報セキュリティ5か条」は、どれも「基本的」で「当たり前」に見える内容ですが、多くの情報漏えい事故は、この基本が徹底されていないことから発生しています。
頭では理解できていたも、具体的に何をしなければならないのか、どう実行するのかにつながらなければ何も管理できていないことになります。

本内容では、この基本的な5か条をしっかりと運用するために、経営者視点で本当に確認すべきポイントを整理します。

Warning

情報セキュリティ対策は、何も高価で最新の設備やシステムを導入することではありません。逆に本内容がおろそかになっている場合は、どんな設備やシステムを導入しても、大きな効果は期待できません。

1.OSやソフトウェアは常に最新の状態にする

パソコンやスマートフォンは自動更新が一般的です。
問題は、見落としがちな機器です。

  • サーバー機器
  • ネットワーク機器(ルーター、無線LANなど)
  • ネットワークカメラ
  • ネットワーク接続型プリンタ・複合機
  • VPN装置やファイアウォール

これらにもサポート期限(EOS/EOL)があり、メーカーからファームウェア更新が提供されています。

では質問です。

  • それらが自社に何台あるか把握していますか?
  • どこに設置されているか即答できますか?
  • サポート期限を一覧で確認できますか?
  • 最後にいつ更新したかわかっていますか?

これができなければ、「更新しているかどうか」以前の問題です。

重要なのはIT資産の台帳管理

アップデート管理の出発点はIT資産台帳の整備です。

台帳には最低限、以下を記載すべきです。

  • 機器名
  • 設置場所
  • 管理責任者
  • OS/ファームウェアバージョン
  • サポート終了日
  • 更新履歴
  • 廃棄日/撤去日

台帳があって初めて、「更新漏れ」が可視化できます。
管理されていない機器は、確実にリスクになります。

2.ウイルス対策ソフトを導入する

ウイルス対策ソフトの導入は前提条件です。
重要なのは、正しく運用されているかどうかです。

  • 定義ファイルは最新か
  • 長期休暇明けに更新確認をしているか
  • 全端末の状況を管理画面で把握できているか

さらに、近年ではEDR(侵入後の挙動監視)導入も有効です。
「侵入させない」から「侵入を前提に検知する」へ。
セキュリティの考え方は進化しています。

3.パスワードを強化する

パスワードは、最重要管理項目です。現在推奨される基準は、

  • 12文字以上(重要設備は15文字以上)
  • 英大文字・小文字・数字・記号を含む
  • 使い回さない

特に問題となるのは「使い回し」です。

Webサービスだけでなく、

  • PCのログイン
  • サーバー管理者アカウント
  • ネットワーク機器の管理画面

これらも含めて使い回しは禁止です。

1台の認証情報が漏れた瞬間、横展開される。
これがランサムウェア被害拡大の典型パターンです。

推奨対策

  • パスワード管理ツール導入
  • 多要素認証(MFA)
  • 管理者アカウントの適切な管理

「覚えられるパスワード」は、安全とは言えません。
普段使っているパソコン以外で、パスワードを何も見ずに入力できているということは、パスワードを覚えている(覚えることが可能な脆弱なパスワード)ということは、実は危険信号です。
そのため、ツールで管理することが前提です。

4.共有設定を見直す

クラウドサービスの普及により、情報共有は非常に便利になりました。

  • OneDrive
  • Google Drive
  • Slack
  • Chatwork

しかし、便利さの裏にリスクがあります。

  • 誰がアクセス権を持っているのか
  • 外部共有が有効になっていないか
  • 退職者のアカウントが残っていないか

これらを把握できていますか?

必須なのは「共有台帳」

アクセス権の棚卸をするには、
まず「何を共有しているのか」を把握する必要があります。

そのために必要なのが共有台帳の整備です。

台帳には、

  • 共有フォルダ名
  • 管理責任者
  • 共有対象(社内/社外)
  • 外部共有の有無
  • アクセス権一覧
  • 最終棚卸日

を記録します。

台帳があれば、定期的な棚卸が可能になります。
台帳がなければ、「見えないリスク」が放置されます。

5.脅威や攻撃の手口を知る

サイバー攻撃は日々高度化しています。

  • フィッシング
  • ビジネスメール詐欺
  • ランサムウェア
  • サプライチェーン攻撃

すべてを自社だけで追い続けるのは現実的ではありません。

「いつでも相談できる専門家がいる体制」

だからこそ、いつでも相談できる体制が必要なのです。

  • 不審なメールを受け取ったとき
  • システム挙動に違和感があったとき
  • 設備更新を検討するとき
  • 事故が発生したとき

迷わず相談できる相手がいるかどうかで、
被害の大きさは大きく変わります。

セキュリティ費用は「コスト」ではなく、
経営リスクに対する保険です。

事故後の負担は、金銭面だけでなく、信用・工数・精神的負担まで及びます。
だからこそ、事前の備えと相談体制が重要なのです。

まとめ ― 「管理できているか」がすべて

情報セキュリティ5か条は、特別なことではありません。
しかし重要なのは、

  • 機器を台帳で管理しているか
  • 共有状況を台帳で管理しているか
  • パスワードを仕組みで管理しているか
  • そして、専門家に相談できる体制があるか

という点です。セキュリティは弱いところから攻められます。抜け漏れが無いようにまずはIT資産の見える化から始めませんか?

そして、セキュリティは担当者任せではなく、経営者が関与すべき経営課題です。

「問題が起きてから」では遅い。
何も起きていない今こそ、見直す最良のタイミングです。

不安や疑問があれば、どうぞ遠慮なく当事務所にご相談ください。

PAGE TOP
タイトルとURLをコピーしました