最近、個人情報保護法の制定や、情報漏洩問題、コンピュータウイルスの蔓延、コンプライアンスの観点などから、情報セキュリティ対策に対する関心は高くなっています。大企業においては、既に多くのセキュリティ対策が施され、さらに高度な対策を取っている企業も多く存在します。
しかし、多くの中小企業においては、情報セキュリティ対策があまり取られておらず、取られていても場当たり的な対応しか取られていないのが現状です。
中小企業が情報セキュリティ対策を実施しない理由としては、アンケート調査などから、下記のような意見が多く出されています。
・情報セキュリティに関するリスクの意識が低い
・社内に対策できる人材がいない(知識・ノウハウが無い)
・どこまで対策すれば良いのか分からない
(どのように、どんな手順で手を付けたらよいかわからない)
・費用・手間の問題
企業が情報セキュリティ対策を考えるとき、省庁などが策定したガイドライン等に沿って対策を行なうことが、その網羅性、コンプライアンスの観点から望ましいと思われます。しかし、現在公開されているガイドラインは、上記の意見などから中小企業にとって敷居が高いものになっています。
そこで、上記の問題点に対応し、段階的にセキュリティ対策を計画、実施、確認できる手順を検討し、現在公開されている下記の情報セキュリティ対策基準やガイドライン等を利用して、中小企業が利用しやすいガイドラインを作成しました。
・JIS X 5080:2002 [日本規格協会]
・ISMS認証基準(Ver.2.0)[JIPDEC]
また、ISMS認証基準を取得するには、現状のセキュリティ体制を考慮せず、トップダウンでISMS認証基準を適用させるやり方が主流で、認証を取得しても、その後セキュリティ管理体制が滞るケースも多いと聞いています。
これに対し、このガイドラインを利用すれば、現状のセキュリティ状況からボトムアップ式にステップアップできるので、地に足の着いたセキュリティ管理体制が構築できると考えています。
中小企業の情報セキュリティ対策の推進にお役立て頂ければ幸いです。
(中堅・大企業でもセキュリティ対策があまり取られていない企業には有効と思います)