中小企業のための情報セキュリティセミナーを聞いてきました
こんにちは小倉です。
情報セキュリティって、何から始めたらいいのか?どこまでやったら安心なのか?そもそも最近はテレワークになってるけど危なくないの?
などなど、移り変わりが早くて難しいなと感じる分野でもありますよね。
今回は、IPA主催の「中小企業のための情報セキュリティセミナー」というものに参加してきたので、内容を共有させていただきます。
IPAとは、独立行政法人情報処理推進機構というお国の機関で「情報処理技術者検定」などを行なっている機関です。
ちなみに今、費用をIPAが負担してくれてセキュリティ専門家を派遣してくれる取組をやっているそうです。
セミナーの目次
⒈情報セキュリティの必要性
⒉情報セキュリティの進め方
⒊情報セキュリティのさらなる強化
⒋テレワーク時のセキュリティの注意事項
⒈情報セキュリティの必要性
そもそもセキュリティ対策を実施しないとどうなるの?
というお話ですね。動画を交えてわかりやすく解説されていました。
普段気にしていなくても、会社には外部に漏れたらまずい情報がいくつもあります。マイナンバーを含む従業員の個人情報、顧客・取引先の情報、開発情報、顧客から預かっている情報の他に、クレジットカード情報やインターネットバンキングの情報など。
これらが不正アクセスなどの被害にあうと、損害賠償沙汰になったり、不正送金されたりなどの金銭的被害のほか、経営者が法的責任・社会的責任に問われることもあるなど、ヤバイことになるパターンは少なくないようです。
そもそも会社の信用が下がってしまうことは確実です。
また、セキュリティ対策をしないままにしておくことで、従業員のモラルが下がり内部不正などが起きやすくなるとのことでした。
⒉情報セキュリティの進め方
では、具体的にどのようの情報セキュリティ対策を進めれば良いのか?
今回のセミナーは「Security Action」という、中小企業自らが情報セキュリティ対策に取組むことを自己宣言する制度の解説が主でした。
「Security Action」は、認定ではなく、自己宣言を行う制度ではありますが、これを行うためのガイドラインは情報セキュリティ対策の基礎としては十分なもののように感じました。
2-1.まずは「情報セキュリティ5か条」から
「Security Action」はまず「情報セキュリティ5か条」の取り組みを宣言するところからはじまります。
この5か条、足がかりとしてはとても良い感じです。情報セキュリティとか特に気にしていない方いたら、ぜひこのあたりから始めてみると良いかと思います。
ちなみに、この「情報セキュリティ5か条」の取り組みを宣言すれば「Security Action ひとつ星」となり名刺などにSecurity Actionのロゴが使えるようになるそうです。
2-2.つぎは「5分でできる!情報セキュリティ自社診断」
「Security Action ふたつ星」になるための項目にある「5分でできる!情報セキュリティ自社診断」ですが、これも良くできています。
一見、チェックリストの診断表のような感じですが、25項目の診断それぞれに簡単な対策が書いてあります。この25項目がすべて○になれば、「情報セキュリティ意識高め」と言っても過言では無い、のではないでしょうか?
⒊情報セキュリティのさらなる強化
「情報セキュリティ意識高め」から「情報セキュリティがしっかりしている」になるために、IPAが「中小企業の情報セキュリティ対策ガイドライン」というものを出しているそうです。
「Security Action」を宣言するだけではなく、しっかりと取り組むためのガイドラインです。今回は割愛。
⒋テレワーク時のセキュリティの注意事項
テレワーク時の情報セキュリティ対策についても、基本は「情報セキュリティ5か条」のようです。
また、気をつけることとして、共用パソコンでのテレワークは避ける、自宅のルーターのファームウェアを最新のほかに、公共の場所で行う場合の注意(覗き見、話し声の注意、パソコンのファイル共有機能をオフに、必要に応じてVPNを使用する、紙の書類にも注意)などが紹介されていました。公共の場でテレワークは注意事項が多くて大変ですね。
さいごに
今回のセミナーの感想ですが、情報セキュリティ対策の基礎についてわかりやすくまとめられてたな、という感じでした。
セミナーに参加するのは大変だけど、情報セキュリティ対策を何もしないままじゃ不安、という方がいればぜひお問い合わせくださいね。
余談
余談なのですが、最近のサイバー攻撃は、対象の企業を直接狙わないみたいです。大企業は情報セキュリティ対策がしっかりしているからだそうです。
それでどこを狙うのかと言うと、攻撃対象の大企業の下請けや孫請け、取引先などで情報セキュリティ対策が十分でない企業を狙うそうです。
そんな被害にあう前に基本的な情報セキュリティ対策はしておきたいですね。