2016年11月15日、IPA(独立行政法人情報処理推進機構)から、「中小企業の情報セキュリティ対策ガイドライン」(以下「中小企業ガイドライン」)の第2版が公開されました。

中小企業の情報セキュリティ対策ガイドライン/IPA

この改訂された「中小企業ガイドライン」、とても参考になるものですが少々各所に影響を与えかねない内容も孕んでいます。

今回は、内容の概略と注目ポイントについて解説いたします。

中小企業ガイドラインについて

概要

まずこのガイドラインの全体像としては、下記構成から成り立っています。

  • 経営者編:経営者向け
  • 管理実践編:管理者(CIO等)向け
  • 付録:参考対策やひな型

特徴

昨年出た「サイバーセキュリティ経営ガイドライン」は“具体性”に乏しいところがありましたが、中小企業ガイドラインではもう少し具体的に何をすべきかがわかるよう、図表も多く含まれている点が特徴です。

メリット

中小企業向けではありますが、大手企業であっても具体的な情報セキュリティ対策経験が豊富でない場合、経営層や管理者にとって大変参考になるでしょう。

また、中小企業ガイドラインは、サイバーセキュリティ経営ガイドライン同様、情報セキュリティマネジメントシステム(ISO27001)を参考に作られています。内部統制と親和性の高い規格に基づいていますので、企業ガバナンスの整合性も取りやすくなると考えられます。

付録には、自社のセキュリティレベルを確認する診断ツールや、社内向けの「情報セキュリティハンドブック」のひな型が付いています。まだ、これらのツールを使用していなければ、かなり参考にできるでしょう。

このように「中小企業ガイドライン」は、企業の規模を問わず、かなり使い勝手が良いものに仕上がっています。是非、一度目を通しておくべきです。

中小企業ガイドラインの懸念点

さて次に、冒頭に述べた“影響を与えかねない内容”について解説します。

情報セキュリティ5箇条について

中小企業ガイドライン第二部の「管理実践編」では、具体的に実施した方が良いことが多数記載されています。中小企業であれば、参考となる項目が多いかもしれません。

そしてこの中で、“必ず実行して欲しいこと”として下記の項目が「情報セキュリティ5箇条」として挙げられています。

  1. アップデート
  2. ウィルス対策ソフト
  3. パスワード管理
  4. 共有設定
  5. 情報収集

この5項目のうち、「パスワード管理」について少々懸念点が考えられます。

“パスワード管理”が与える影響

今回の中小企業ガイドラインでは、実施すべきパスワード管理として下記3点を満たすことを条件としています。

  • 10桁以上
  • 大文字小文字交じりの英数記号
  • 使い回しをしない

遂に安全なパスワードは「10桁」となってしまったのです。

コンピュータの性能は年々向上しています。解析が難しい桁数が、当初は4桁だったものが、6桁になり、8桁になり、遂に10桁となった...技術的には仕方のないことです。

ただし、10桁のパスワードとは、実務上可能なのでしょうか?

実現不可能な条件

人が憶えられる桁数(メモリスパン)は、多い人でも9桁と言われています。(マジックナンバー7±2)

10桁はそれを超えてしまっています。8桁でさえ“難しい”と感じる人がいる中、さらに“使い回し不可”という条件もプラスされ、10桁のパスワードを完璧に使いこなせる人など実在しないでしょう。

つまり、“パスワードだけ”で本人認証をする手法は、成り立たなくなっていると考えるべきなのです。

セキュリティホールとなる危険性

近年では、生体認証やフレーズ、アドレス縛りなど、+αの手法を用いて安全を確保する方法が多数開発されています。

実現不可能な条件は、“出来ないからやらない”という人を生み出しかねません。“ルールを守れなくてもしょうがない”という思考に陥ってしまうのです。

この様な状況の方が、パスワードの桁数等より余程重大なセキュリティホールではないでしょうか。

パスワードに頼らないセキュリティ対策が必要

これまで燻っていた“パスワードの桁数が多い”という問題点が、今回の中小企業ガイドラインで炙り出されました。

パスワード認証で成り立つシステムは、根底から構成を考えるか、いっそのこと“パスワード認証は安全ではない”との前提でセキュリティ対策を考えるべきでしょう。

まとめ

中小企業ガイドラインはとても良い出来で、企業にとって参考になるものだと思います。ですが、現在のセキュリティ事情をふまえた上で作成されたが為に、実社会とのギャップが出てきてしまっているのです。

これらを参考にしながら、自社で出来るか否かを取捨選択し、万一の事態が起きても「ここまで対策していたのに、インシデントが起きてしまったのであれば仕方がない」と周囲に思ってもらえるだけの対策を採っておくようにしましょう。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。