セキュリティ

自工会ガイドライン対応の始め方 ― 優先19項目の解説と中小企業の具体的な対策

#自動車業界#自工会ガイドライン#サイバーセキュリティ#チェックリスト#中小企業
📘
完全ガイドの一部です中小企業向けサイバーセキュリティ対策 完全ガイド

前回の記事では、自工会/部工会サイバーセキュリティガイドラインの全体像を解説しました。153項目と聞くと途方に暮れますが、JAMA/JAPIAは公式に**「まず優先19項目から」**と案内しています。

本記事では、この優先19項目を3つのパートに分けて解説し、IT専任者がいない中小企業でも実行できる具体的な対策を示します。

優先19項目の構成

JAMA/JAPIAが公開している「セキュリティ推進担当者向け解説資料」では、レベル1の達成条件の中から、優先的に取り組むべき19項目が抽出されています。

これらは大きく3つのパートに分けられます。

  • パート1: 被害に遭った後の回復力(5項目)
  • パート2: 侵入を防ぐ基本的な守り(8項目)
  • パート3: 組織としてのルールと体制(6項目)

パート1: 被害に遭った後の回復力

サイバー攻撃を100%防ぐことは不可能です。「攻撃を受けても事業を止めない、すぐに復旧できる」体制を整えることが最優先です。

① データのバックアップを取得している

対策のポイント: 重要データ(設計データ、受発注データ、顧客情報など)を定期的にバックアップします。重要なのはオフラインバックアップの確保です。ネットワークに接続されたNASやクラウドだけでは、ランサムウェアによって同時に暗号化されるリスクがあります。

具体策: 外付けHDDへの週次バックアップを実施し、バックアップ完了後はHDDをネットワークから物理的に切り離します。月次でバックアップからの復元テストも行いましょう。

② サイバー攻撃を受けた際の対応手順を決めている

対策のポイント: ランサムウェアに感染した場合の初動対応を事前に文書化しておきます。「誰に連絡するか」「ネットワークを遮断する判断基準」「代替手段(FAX、電話)での業務継続方法」を決めておきましょう。

具体策: A4で1〜2ページの初動対応フローを作成し、経営層と現場の責任者で共有します。年に1回は机上訓練を実施しましょう。

③ 緊急連絡先リストを整備している

対策のポイント: インシデント発生時に連絡すべき社内外の関係者をリスト化します。自社の経営層、IT担当、セキュリティベンダー、取引先のセキュリティ窓口、所轄の警察署のサイバー犯罪相談窓口などを含めます。

④ 事業継続計画(BCP)にサイバー攻撃を含めている

対策のポイント: 自然災害だけでなくサイバー攻撃も想定したBCPを策定します。既存のBCPに「ITシステム停止」シナリオを追加する形でも構いません。

⑤ サイバー保険への加入を検討している

対策のポイント: サイバー保険は、インシデント対応費用、事業中断による損害、第三者への賠償責任などをカバーします。自動車業界ではサプライチェーン経由の被害が連鎖するリスクが高いため、加入を検討する価値があります。

パート2: 侵入を防ぐ基本的な守り

⑥ ウイルス対策ソフトを全端末に導入し、最新の状態に保っている

対策のポイント: 社内のすべてのPCとサーバーにウイルス対策ソフトを導入し、パターンファイルの自動更新を有効にします。Windows Defenderを有効にするだけでも最低限の対策になります。管理コンソールで全端末の更新状況を一元管理できる製品が理想的です。

⑦ OSとソフトウェアを最新の状態に保っている

対策のポイント: Windows UpdateやmacOSアップデートを定期的に適用します。特にサポートが終了したOS(Windows 10は2025年10月サポート終了)を使い続けることは、ガイドライン対応以前のリスクです。

具体策: 月次のパッチ適用日を設定し、適用状況を管理台帳で記録します。即座に適用できない場合でも、リスクを認識した上で計画的に対応するプロセスを確立しましょう。

⑧ 初期パスワードを変更し、推測されにくいパスワードを使用している

対策のポイント: ルーターやNAS、複合機などのネットワーク機器に設定されている初期パスワード(admin/admin、admin/passwordなど)を必ず変更します。これは攻撃者が最初に試すポイントです。

具体策: パスワードは12文字以上で、英大文字・小文字・数字・記号を含むものに設定します。共有パスワードではなく、管理者ごとに個別のアカウントを作成するのが望ましいです。

⑨ VPN装置やファイアウォールのファームウェアを最新に保っている

対策のポイント: VPN装置の脆弱性は、ランサムウェアの侵入経路として最も多く悪用されています。ファームウェアのバージョンを確認し、メーカーが公開するセキュリティパッチを速やかに適用しましょう。

具体策: VPN装置の型番とファームウェアバージョンを台帳に記録し、月次でメーカーサイトの更新情報を確認するルーティンを作ります。

⑩ 使っていないサービスやポートを無効化している

対策のポイント: リモートデスクトップ(RDP)の外部公開、不要なポートの開放、使っていないアカウントの放置は、攻撃者の侵入口になります。使わないサービスは無効化し、不要なポートは閉じましょう。

⑪ フィッシングメール対策を実施している

対策のポイント: 標的型フィッシングメールは、最も一般的な攻撃の入り口です。メールのフィルタリング設定に加えて、従業員向けの教育・訓練が効果的です。

具体策: 年に1〜2回、模擬フィッシングメールによる訓練を実施します。引っかかった場合の追加教育まで含めたプログラムにすると効果的です。

⑫ 重要なデータを暗号化して保管している

対策のポイント: 設計図面、顧客の技術情報、個人情報など、機密度の高いデータは暗号化して保管します。PCのディスク暗号化(BitLocker)を全端末で有効化し、USBメモリの利用は原則禁止するのが現実的な対策です。

⑬ ログを取得・保管している

対策のポイント: 主要なシステム(ファイルサーバー、VPN、Active Directory、業務システム)のアクセスログを取得・保管します。インシデント発生時に「何が起きたか」を調査するための材料になります。最低でも3ヶ月以上のログ保管を推奨します。

パート3: 組織としてのルールと体制

⑭ 情報セキュリティに関する基本方針を策定している

対策のポイント: 会社としてセキュリティをどう位置づけるかの基本方針を策定します。IPAの「SECURITY ACTION」宣言(一つ星・二つ星)も有効な取り組みです。

⑮ セキュリティの推進責任者を任命している

対策のポイント: 経営層がセキュリティの責任者を任命し、ガイドライン対応を推進する体制を明確にします。専任である必要はなく、総務部長や管理部長が兼務するケースでも構いません。

⑯ 守秘義務のルールを策定し、従業員に周知している

対策のポイント: 取引先の技術情報や機密情報を適切に扱うための守秘義務ルールを策定し、就業規則や入社時の誓約書に反映します。

⑰ 委託先に対してセキュリティ対策の状況を確認している

対策のポイント: 自社だけでなく、業務委託先(外注先、協力会社)のセキュリティ状況も確認します。契約書にセキュリティ要件を含め、定期的に対策状況の報告を求める仕組みを作りましょう。

⑱ 退職者のアカウントを速やかに削除している

対策のポイント: 退職・異動時にアカウントを即日で無効化するフローを整備します。退職者のアカウントが放置されると、内部不正や外部からの侵入に悪用されるリスクがあります。

⑲ セキュリティに関する教育を実施している

対策のポイント: 全従業員を対象としたセキュリティ教育を年1回以上実施します。座学だけでなく、フィッシングメール訓練やインシデント対応の机上演習を含めると効果的です。

優先19項目の後に取り組むべきこと

優先19項目をクリアしたら、残りのレベル1項目(全50項目)の対応を進めます。その後、取引先の要求に応じてレベル2・3への対応を段階的に進めていきます。

対応ロードマップの例

フェーズ1(1〜3ヶ月): 優先19項目への対応、チェックシートの初回自己評価

フェーズ2(3〜6ヶ月): レベル1の残り項目への対応、セキュリティポリシー整備、教育体制の構築

フェーズ3(6〜12ヶ月): レベル2への対応開始、ログ監視体制の構築、委託先管理の強化

フェーズ4(12ヶ月〜): レベル3への対応、継続的改善サイクル(PDCA)の定着

工場領域版ガイドラインにも注目

2025年10月には、**工場領域版(OT環境向け)**のガイドラインドラフト(0.9版)も公開されました。これまでのエンタープライズ版(OA環境)に加えて、製造設備の制御システム(OT環境)のセキュリティにもガイドラインの範囲が拡大されています。工場のIT化が進む中、OA環境とOT環境の両方でセキュリティ対策が求められる時代になっています。

外部支援の活用

IT専任者がいない自動車部品メーカーにとって、153項目のガイドライン対応を自力で進めるのは大きな負担です。情シス365では、自動車サプライチェーン企業向けに以下のサービスを提供しています。

ガイドライン対応支援

  • チェックシートの自己評価サポート
  • ギャップ分析と対応計画の策定
  • セキュリティポリシーの策定・改定

IT運用代行

  • アカウント管理・権限設計(Active Directory / Entra ID)
  • VPN装置・ファイアウォールの管理・パッチ適用
  • PCキッティング・端末管理(Intune対応)
  • ヘルプデスク対応

セキュリティ運用

  • ログ監視・アラート設計
  • インシデント対応体制の構築
  • セキュリティ教育・フィッシング訓練の企画運営

月額18万円〜の定額制で、ガイドライン対応とIT運用を一体的に支援します。

製造業・自動車サプライヤー向けITサポートの詳細はこちら →

まずは60分無料相談にて、自社の対応状況と課題をお聞かせください。

参考リンク

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談