ネットワークを利用しての業務で、一番気を付けなくてはいけないのが情報セキュリティ対策です。
近年では、古着通販サイトで、第三者からの不正アクセスによって1万8千人程度の、クレジットカード情報が漏えいした可能性があるというインシデントが発生しました。
このような事例は、企業の信頼が失われてしまい、今後の経営に大きく響いてしまうため、それぞれの企業で、適切な情報セキュリティ対策が行われているかが、より一層問われています。
ですが、いくら効果的な情報セキュリティ対策を策定しても、それを従業員が正しく実施できなければ、効果がありません。
セキュリティ対策をより有効なものにするには、マニュアルを作成し、専門知識のない従業員でもマニュアルに従えば、適切な情報セキュリティ対策をできる環境を構築するのが重要です。
今回は、情報セキュリティ対策に有効なマニュアルを複数紹介します。
また、LRMでも情報セキュリティ対策マニュアルや体制・ルールを含めた「情報セキュリティポリシー」の作り方資料を無料で配布しています。
作成のサンプルやポイントから運用のコツに至るまで網羅しています。こちらから無料でダウンロードできますので、ぜひご活用ください。
情報セキュリティ対策についておさらい
まずマニュアルを紹介する前に、情報セキュリティ対策について簡単におさらいしておきましょう。
情報セキュリティ対策とは、情報資産を、機密性・完全性・可用性を確保するために、不正アクセスをはじめとした多様なリスクから守ることです。
日本ネットワークセキュリティ協会より公開されている「情報セキュリティ対策チェックリスト」などの資料を利用して対策に抜けがないか確認します。
主にセキュリティ対策は以下のようなものを指します。
- 不正アクセスの防止
- 機密情報の保護
- ウイルス感染対策
- 従業員への教育
今回紹介するセキュリティ対策マニュアルは「従業員への教育」の一環といえるでしょう。
情報セキュリティ対策に有効なマニュアルとは
では、情報セキュリティ対策に有効なマニュアルとはどんなものでしょうか。
組織にまつわる情報のセキュリティや管理方法、マネジメント方法を示す国際規格「ISO27001(ISMS)」という、もっとも一般的な、情報セキュリティマネジメントシステムについてのISO規格では、以下のような項目を策定する必要があります。(下記はあくまで項目の一部です。内容は会社によって異なります。)
- 情報セキュリティ基本方針
- ISMSマニュアル
- 適用宣言書
- 文章管理規定
- 是正処置管理規程
- 内部監査管理規程
- 情報セキュリティ運営管理規程
- 人的セキュリティ管理規程
- 運用面でのマニュアル
- リスクアセスメント規程
- 情報セキュリティ体制表
策定項目は多岐にわたりますが、そこまで難しく考える必要はありません。
様々な機関や団体が情報セキュリティ対策に有効なマニュアルやガイドラインを公開しているからです。
実際に公開されているセキュリティ対策マニュアルや、マニュアル作成に役立ちそうなガイドラインを紹介します。
また、マニュアルも含めた情報セキュリティポリシーの作成・運用について詳説した資料はこちら。
IPA 中小企業の情報セキュリティ対策ガイドライン
情報処理推進機構(IPA)が公開している中小企業の情報セキュリティ対策ガイドラインです。
中小企業の情報セキュリティ対策に関して、より具体的な対策を示しており、イラストや色を効果的に使ってわかりやすく作成されています。
総務省 情報管理担当者の情報セキュリティ対策
総務省が公開している、情報セキュリティ対策について解説したマニュアルです。
「OSを最新版に更新」「不正アクセスの対策」といった基礎的なセキュリティ対策から、SNSを利用する際のセキュリティ対策のような、様々なケースについても記載している広い範囲を網羅したマニュアルです。
公益財団法人 あいち産業振興機構セキュリティお助けマニュアル
このマニュアルでは、まずセキュリティ対策の必要性と重要性を説明することで、従業員のコンプライアンス意識を高めつつ、パソコンの台数やOSの種類などの基本的なところからしっかり解説されているため、パソコンに今まで触れて来なかったリテラシーの低い従業員でもついていけるような内容になっています。
東京都産業労働局 セキュリティの部屋
サイバー攻撃について、刑事を主人公とした漫画でストーリーを展開しつつ、要所で単語や対策について説明しています。
マニュアルというだけで、中々読む気が起きないという人でも、読みたくなるような面白いつくりが意識されていて完成度が高いです。
経済産業省 サイバーセキュリティ経営ガイドラインと支援ツール
経済産業省が公開している、サイバーセキュリティに関するガイドラインと支援ツールです。
こちらは従業員に向けたものというよりは、経営者としてサイバーセキュリティについてどう向き合うべきかという原則を解説しています。経営者が組織全体の対応方針を策定するときに役立つでしょう。
内閣サイバーセキュリティセンター 政府機関等のサイバーセキュリティ対策のための統一基準群
統一基準群とは、国の行政機関および、独立行政法人等の「情報セキュリティ水準」を向上させる目的で策定された統一的な枠組みです。
国の行政機関及び独立行政法人等の情報セキュリティのベースラインや、より高い水準の情報セキュリティを確保するための対策事項を規定しています。
統一基準群の運用により、国の行政機関及び独立行政法人等それぞれの組織のPDCAサイクルや政府機関等全体のPDCAサイクルを適切に回し、政府機関等全体としての情報セキュリティの確保を図ります。
岐阜県情報セキュリティ委員会 情報セキュリティ事故対応マニュアル
岐阜県の情報セキュリティ委員会が作成した、情報セキュリティ事故が起きた時の対応についてまとめられています。
セキュリティ事故を起こさないようにするマニュアルではなく、適切な事後対応についてまとめられているため、実践的な内容になっています。
情報セキュリティ対策のマニュアルは企業ごとの作成が必要
実際に公開されているセキュリティ対策マニュアルとガイドラインを紹介しました。
様々な種類があるところからわかるとおり、情報セキュリティ対策のマニュアルには正解がありません。
ですので、それぞれの企業にあったマニュアルの作成が必要です。
自分たちの企業に即したマニュアルを見つけて、そこから自社風にアレンジしてみてください。
情報セキュリティマニュアルをクラウドでラクラク作成・管理!
ここまで情報セキュリティマニュアルについてご説明してきましたが、実際に作成・運用するとなると、WordやExcelでの管理になってしまい、共有方法があいまいになってしまったり、管理工数がかかってしまったりしがちです。
そこで、LRMの情報セキュリティ教育クラウド「セキュリオ」をご利用いただくと、ルールの作成から管理・共有閲覧に至るまでクラウド上で一元的に行えます。
ISMSにも対応し、ISO27001規格とのマッピングや規格対応のテンプレートもご利用いただけます。
「セキュリオ」では、14日間無料でGR スタンダードプランの機能をお試しいただける無料トライアルも実施中です。この機会にぜひお試しください!
まとめ
セキュリティ対策のマニュアルについて解説しました。ガイドラインやマニュアルにも様々な種類があるので、自社に適したセキュリティ対策のマニュアルを作成しましょう。
情報セキュリティマニュアルの作成から運用・共有までラクラク一元的に実施できる「セキュリオ」について詳しくはこちら。
