セキュリティ

【連載第3回】今すぐ実践!情報セキュリティ5か条と自社診断25項目

#サイバーセキュリティ連載#情報セキュリティ5か条#自社診断#IPA#SECURITY ACTION
📘
完全ガイドの一部です中小企業向けサイバーセキュリティ対策 完全ガイド

前回は経営者が負う法的責任について解説しました。「対策しなければ」という意識は持てたものの、「具体的に何から手をつければいいのか」が分からない方も多いのではないでしょうか。

第3回では、IPAが推奨する「情報セキュリティ5か条」と、自社のセキュリティレベルを簡単に測定できる「自社診断25項目」を紹介します。この2つを実践するだけでも、セキュリティの大幅な底上げが可能です。

情報セキュリティ5か条

IPAが中小企業向けに提唱しているのが「情報セキュリティ5か条」です。まずはこの5つを確実に実践しましょう。

第1条:OSやソフトウェアは常に最新の状態にしよう

Windows Update、macOSのアップデート、各種ソフトウェアの更新を放置していませんか? 脆弱性を突いた攻撃の多くは、既にパッチが公開されている既知の脆弱性を悪用しています。

今すぐできること:

  • Windows Updateの自動更新を有効にする
  • 使用中のソフトウェアの更新通知を見逃さない
  • サポートが終了したOS・ソフトウェアは使用をやめる

第2条:ウイルス対策ソフトを導入しよう

「Windows Defenderが入っているから大丈夫」という認識は半分正解です。Windows Defenderは近年大幅に機能向上しており、基本的なウイルス対策としては十分です。ただし、定義ファイルが最新であることの確認は必要です。

今すぐできること:

  • ウイルス対策ソフトが有効になっているか全PCで確認
  • 定義ファイルの自動更新が有効か確認
  • 定期的なフルスキャンをスケジュール設定する

第3条:パスワードを強化しよう

「password123」「company2024」のようなパスワードを使っていませんか? また、複数サービスで同じパスワードを使い回していませんか?

今すぐできること:

  • 12文字以上の強力なパスワードに変更する
  • パスワードの使い回しをやめる
  • 可能な限り多要素認証(MFA)を有効にする
  • パスワードマネージャーの導入を検討する

第4条:共有設定を見直そう

クラウドストレージの共有設定、ネットワークフォルダのアクセス権限を最後に見直したのはいつですか? 退職者のアカウントがまだ残っていませんか?

今すぐできること:

  • クラウドサービスの共有設定を棚卸しする
  • 退職者のアカウントを無効化する
  • 「全員にアクセス権」のフォルダがないか確認する

第5条:脅威や攻撃の手口を知ろう

フィッシングメール、ビジネスメール詐欺(BEC)、ランサムウェア。攻撃の手口を知っているだけで、被害を防げるケースは多くあります。

今すぐできること:

  • IPAの「情報セキュリティ10大脅威」を読む
  • 不審なメールの見分け方を社員に共有する
  • 「怪しいと思ったらIT担当に相談」のルールを作る

5分でできる自社診断25項目

IPAは自社のセキュリティレベルを簡易的に診断できる「5分でできる!情報セキュリティ自社診断」を公開しています。25個の質問に「はい/いいえ」で答えるだけで、自社の対策レベルが分かります。

診断項目の分類

  • 基本的対策(5問): OS更新、ウイルス対策、パスワード管理など
  • 従業員としての対策(8問): メール利用、持ち出しルール、SNS利用など
  • 組織としての対策(12問): 方針策定、教育、委託先管理、事故対応など

結果の見方

  • 80点以上: 基本的な対策はできている。さらなる強化を
  • 60〜79点: 弱点を補強すれば十分な水準に到達可能
  • 59点以下: 早急に基本的な対策から着手すべき

この診断を定期的に(半年に1回程度)実施し、改善状況を追跡することで、PDCAサイクルを回す第一歩になります。

SECURITY ACTION「一つ星」を宣言しよう

「情報セキュリティ5か条」に取り組むことを自己宣言すると、IPAの「SECURITY ACTION」一つ星マークを使用できます。

SECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度です。IT導入補助金の申請要件にもなっており、取得して損はありません。

一つ星の宣言は無料で、特別な審査もありません。5か条を実践する意思があれば今すぐ宣言できます。

まとめ

情報セキュリティ5か条は、特別なツールや予算がなくても今日から実践できる基本対策です。まずはこの5つを確実に実施し、自社診断で現状を把握しましょう。

次回は、組織として情報セキュリティに取り組むための「基本方針の策定」と「管理体制の構築」について解説します。

連載一覧: 第2回第3回(本記事)第4回

まとめ・ご相談

セキュリティ対策の強化をご検討の方は、Security365(セキュリティ運用・SOCライト)をご覧ください。

貴社のIT課題について、まずは60分の無料相談でお気軽にご相談ください。

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談