【実務版】IPAセキュリティ対策チェックリスト|付録を使った中小企業のリスク分析と対策立案
IPAの「中小企業の情報セキュリティ対策ガイドライン」には、実務で使える8つの付録ツールが用意されています。しかし「ダウンロードしたものの、どう記入すればいいかわからない」という声も多く聞かれます。
この記事では、付録チェックリストの具体的な記入例を交えながら、中小企業がリスク分析から対策立案までを進める手順を解説します。
IPAガイドライン付録の全体像
ガイドライン付録は、以下の8つのツールで構成されています。
| 付録 | ツール名 | 用途 |
|---|---|---|
| 付録1 | 情報資産管理台帳 | 自社が保有する情報資産を一覧化する |
| 付録2 | 機密性・完全性・可用性の評価基準 | 情報資産の重要度を3段階で判定する |
| 付録3 | リスク分析シート | リスク値を定量的に算出する |
| 付録4 | 情報セキュリティポリシーひな形 | 基本方針の策定に使うテンプレート |
| 付録5 | 委託先管理シート | 外注先のセキュリティ状況を確認する |
| 付録6 | 従業員向け教育資料 | セキュリティ研修の教材として使う |
| 付録7 | 教育・訓練計画シート | 年間の教育計画を策定する |
| 付録8 | インシデント対応手順書 | 事故発生時の対応フローを整理する |
以下、実務で特に重要なStep 1〜5を順に見ていきます。
Step 1: 情報資産の洗い出し(付録1)
セキュリティ対策の第一歩は、自社が保有する情報資産を把握することです。付録1の情報資産管理台帳を使って棚卸しを行います。
記入例:
| 資産名 | 管理者 | 保管場所 | 重要度 | アクセス権限 |
|---|---|---|---|---|
| 顧客情報データベース | 営業部長 | クラウドCRM | 高 | 営業部のみ |
| 従業員個人情報 | 総務部長 | 社内サーバー | 高 | 総務部のみ |
| 契約書(電子) | 法務担当 | SharePoint | 高 | 部門長以上 |
| 技術仕様書 | 開発部長 | Git リポジトリ | 中 | 開発部のみ |
| 社内メール | 各利用者 | Microsoft 365 | 中 | 本人のみ |
| SaaSアカウント一覧 | IT担当 | スプレッドシート | 中 | IT担当のみ |
紙の書類、個人端末のデータ、SaaSアカウント、退職者が作成したファイルも忘れずに含めましょう。
Step 2: リスク分析(付録3)
情報資産の洗い出しが終わったら、付録3のリスク分析シートでリスク値を算出します。
リスク値の計算式:
リスク値 = 重要度 × 脅威 × 脆弱性
各要素を3段階(1〜3)で評価し、掛け合わせてリスク値を求めます。
記入例:
| 情報資産 | 重要度 | 脅威 | 脆弱性 | リスク値 | 優先度 |
|---|---|---|---|---|---|
| 顧客情報DB | 3 | 3 | 2 | 18 | 最優先 |
| 従業員個人情報 | 3 | 2 | 2 | 12 | 高 |
| 契約書(電子) | 3 | 1 | 1 | 3 | 中 |
| 技術仕様書 | 2 | 2 | 2 | 8 | 高 |
脅威の洗い出し方法:
IPAが毎年発行する「情報セキュリティ10大脅威」を参考にすると、自社に該当する脅威を漏れなく洗い出せます。ランサムウェア、フィッシング、サプライチェーン攻撃、内部不正など、組織に関する脅威を中心にチェックしましょう。
Step 3: セキュリティポリシー策定(付録4)
付録4のひな形をベースに、自社の実態に合わせてカスタマイズします。
中小企業が最低限記載すべき項目:
- 基本方針 — 情報セキュリティに対する会社の姿勢を宣言する
- 対象範囲 — 全社なのか、特定部門なのかを明確にする
- 役割と責任 — 情報セキュリティ責任者(CISO相当)と各部門の役割を定める
- インシデント対応手順 — 事故発生時の報告先・連絡フロー・初動対応を記載する
- 教育・訓練 — 全従業員を対象とした年次研修の実施を明記する
ひな形をそのまま使わず自社の業種・規模に合わせて具体化すること、策定したポリシーは自社Webサイトに公開すること(SECURITY ACTION ★★二つ星の要件)がポイントです。
Step 4: 委託先管理(付録5)
外注先やクラウドサービス事業者のセキュリティ管理は、自社と同等以上の水準を求める必要があります。
委託先への確認事項チェックリスト:
- 秘密保持契約(NDA)を締結しているか
- 委託先のセキュリティ体制(責任者・担当者)を把握しているか
- インシデント発生時の報告義務が契約に明記されているか
- 定期的な監査や報告を求める権限が契約に含まれているか
- 再委託の制限条項を設けているか
- 契約終了時のデータ返却・消去の条件を定めているか
クラウドサービスの場合は、サービス提供事業者のセキュリティ認証(ISO 27001、SOC 2等)の取得状況も確認しましょう。
Step 5: 教育・訓練計画(付録7)
セキュリティ対策は技術的な対策だけでなく従業員のリテラシー向上が不可欠です。付録7を使い年間の教育計画を策定します。
| 時期 | 対象 | 内容 |
|---|---|---|
| 4月 | 新入社員 | 情報セキュリティ基礎研修 |
| 7月 | 全社員 | フィッシングメール訓練 |
| 10月 | 全社員 | セキュリティポリシー再確認研修 |
| 1月 | IT担当・管理者 | インシデント対応訓練(机上演習) |
よくある失敗パターン
- 台帳を作って放置する — 最低でも年1回は更新が必要。更新の責任者と時期をあらかじめ決めておく
- ポリシーが形骸化する — 全社員がアクセスできる場所に掲示し、定期研修で振り返る仕組みを作る
- リスク分析が主観的になる — IPAの10大脅威や同業他社の被害事例を参考に、客観的データに基づいて評価する
まとめ
IPAガイドラインの付録ツールは、中小企業がセキュリティ体制をゼロから構築するための強力な武器です。テンプレートを埋めるだけでなく、自社の実態に合わせたカスタマイズと継続的な運用が重要です。情シス365では、情報資産の洗い出しからポリシー策定、従業員教育まで一貫してサポートしています。