サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

徹底解説「中小企業の情報セキュリティ対策ガイドライン(第2版)」とは



2016年11月15日、IPA(独立行政法人情報処理推進機構)から、「中小企業の情報セキュリティ対策ガイドライン」(以下「中小企業ガイドライン」)の第2版が公開されました。

中小企業の情報セキュリティ対策ガイドライン/IPA

この改訂された「中小企業ガイドライン」、とても参考になるものですが少々各所に影響を与えかねない内容も孕んでいます。

今回は、内容の概略と注目ポイントについて解説いたします。

中小企業ガイドラインについて

概要

まずこのガイドラインの全体像としては、下記構成から成り立っています。

  • 経営者編:経営者向け
  • 管理実践編:管理者(CIO等)向け
  • 付録:参考対策やひな型

特徴

昨年出た「サイバーセキュリティ経営ガイドライン」は“具体性”に乏しいところがありましたが、中小企業ガイドラインではもう少し具体的に何をすべきかがわかるよう、図表も多く含まれている点が特徴です。

メリット

中小企業向けではありますが、大手企業であっても具体的な情報セキュリティ対策経験が豊富でない場合、経営層や管理者にとって大変参考になるでしょう。

また、中小企業ガイドラインは、サイバーセキュリティ経営ガイドライン同様、情報セキュリティマネジメントシステム(ISO27001)を参考に作られています。内部統制と親和性の高い規格に基づいていますので、企業ガバナンスの整合性も取りやすくなると考えられます。

付録には、自社のセキュリティレベルを確認する診断ツールや、社内向けの「情報セキュリティハンドブック」のひな型が付いています。まだ、これらのツールを使用していなければ、かなり参考にできるでしょう。

このように「中小企業ガイドライン」は、企業の規模を問わず、かなり使い勝手が良いものに仕上がっています。是非、一度目を通しておくべきです。

中小企業ガイドラインの懸念点

さて次に、冒頭に述べた“影響を与えかねない内容”について解説します。

情報セキュリティ5箇条について

中小企業ガイドライン第二部の「管理実践編」では、具体的に実施した方が良いことが多数記載されています。中小企業であれば、参考となる項目が多いかもしれません。

そしてこの中で、“必ず実行して欲しいこと”として下記の項目が「情報セキュリティ5箇条」として挙げられています。

  1. アップデート
  2. ウィルス対策ソフト
  3. パスワード管理
  4. 共有設定
  5. 情報収集

この5項目のうち、「パスワード管理」について少々懸念点が考えられます。

“パスワード管理”が与える影響

今回の中小企業ガイドラインでは、実施すべきパスワード管理として下記3点を満たすことを条件としています。

  • 10桁以上
  • 大文字小文字交じりの英数記号
  • 使い回しをしない

遂に安全なパスワードは「10桁」となってしまったのです。

コンピュータの性能は年々向上しています。解析が難しい桁数が、当初は4桁だったものが、6桁になり、8桁になり、遂に10桁となった…技術的には仕方のないことです。

ただし、10桁のパスワードとは、実務上可能なのでしょうか?

実現不可能な条件

人が憶えられる桁数(メモリスパン)は、多い人でも9桁と言われています。(マジックナンバー7±2)

10桁はそれを超えてしまっています。8桁でさえ“難しい”と感じる人がいる中、さらに“使い回し不可”という条件もプラスされ、10桁のパスワードを完璧に使いこなせる人など実在しないでしょう。

つまり、“パスワードだけ”で本人認証をする手法は、成り立たなくなっていると考えるべきなのです。

セキュリティホールとなる危険性

近年では、生体認証やフレーズ、アドレス縛りなど、+αの手法を用いて安全を確保する方法が多数開発されています。

実現不可能な条件は、“出来ないからやらない”という人を生み出しかねません。“ルールを守れなくてもしょうがない”という思考に陥ってしまうのです。

この様な状況の方が、パスワードの桁数等より余程重大なセキュリティホールではないでしょうか。

パスワードに頼らないセキュリティ対策が必要

これまで燻っていた“パスワードの桁数が多い”という問題点が、今回の中小企業ガイドラインで炙り出されました。

パスワード認証で成り立つシステムは、根底から構成を考えるか、いっそのこと“パスワード認証は安全ではない”との前提でセキュリティ対策を考えるべきでしょう。

まとめ

中小企業ガイドラインはとても良い出来で、企業にとって参考になるものだと思います。ですが、現在のセキュリティ事情をふまえた上で作成されたが為に、実社会とのギャップが出てきてしまっているのです。

これらを参考にしながら、自社で出来るか否かを取捨選択し、万一の事態が起きても「ここまで対策していたのに、インシデントが起きてしまったのであれば仕方がない」と周囲に思ってもらえるだけの対策を採っておくようにしましょう。





書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。