IPA(情報処理推進機構)は4月26日、中小企業向けに情報セキュリティ対策の考え方や、段階的に実現するための方策を紹介する「中小企業の情報セキュリティ対策ガイドライン」を改訂した第3.1版を公開した。
同ガイドラインは、中小企業の経営者や実務担当者が、情報セキュリティ対策の必要性を理解し、情報を安全に管理するための具体的な手順などを示したというもの。
2019年3月に第3版を公表して以降、新型コロナウイルス感染症(COVID-19)防止策によるテレワークの普及や、DX推進の両輪としての情報セキュリティ対策といった社会動向の変化などを踏まえ、具体的な対応策を盛り込むための改訂を行ったとのこと。
同ガイドラインは、本編2部と付録で構成する。第1部に経営者が認識すべき3原則および、経営者が実行すべき重要7項目の取り組みを記載し、第2部では実務担当者向けに情報セキュリティ対策の具体的な進め方を説明しているという。さらに、「情報セキュリティ基本方針」や「情報セキュリティ関連規程」などのひな形を付録として備えた。
改訂の主なポイントは、1)テレワークを安全に実施するためのポイントを具体的な方策として追加、2)セキュリティ・インシデント発生時の対応を具体的な方策として追加、3)「中小企業のためのセキュリティインシデント対応の手引き」を付録に追加の3点。
手引きは、中小企業が非常時にすぐ手元で活用できるようインシデント対応をまとめた、8ページの冊子。インシデント対応時に整理しておくべき事項のリストや、「検知・初動対応」「報告・公表」「復旧・再発防止」といった基本ステップごとのアクションを示している。
さらに、「ウイルス感染・ランサムウェア感染の場合」「情報漏えいの場合」「システム停止の場合」といった場合ごとに1ページずつ解説する他、相談窓口や報告先も紹介している。