IPAが「中小企業の情報セキュリティ対策ガイドライン」を公開

以前、ブログで取り上げた中小企業のセキュリティ対策ですが、独立行政法人情報処理推進機構（IPA）から「中小企業の情報セキュリティ対策ガイドライン」が公開されました。

プレス発表 「中小企業の情報セキュリティ対策ガイドライン」を刷新、公開 （IPA）
（https://warp.ndl.go.jp/info:ndljp/pid/11376004/www.ipa.go.jp/about/press/20161115.html）
中小企業の情報セキュリティ対策ガイドライン （IPA）
中小企業がやるべき3つのセキュリティ対策の視点 （ラックブログ）

2009年に公開されたガイドラインを改訂したもののようです。公開から7年が経過して、世の中の事情もずいぶんと変わっています。2009年頃はネットバンキングを悪用した不正送金事件の話はほとんど出ていませんでしたが、現在では法人企業の被害が多くなるなど、状況が変わっています。ちなみに2009年11月頃に私が講演していた資料を掘り起こしてみたところ、以下のようなキーワードで話していたようです。

「SQLインジェクションによるDB改ざん」
「Confickerがネットワークに蔓延」
「Gumblerによるウェブ改ざん」
「標的型攻撃メールによる被害」

最後の標的型攻撃メール以外はあまり話題にならなくなり、攻撃者の手法も変化してきましたが、やるべきことは「パスワード管理」や「パッチ管理」「セキュアなアプリケーション開発」など基本が大事であることには変わりありません。

今回の「中小企業の情報セキュリティ対策ガイドライン」はイラストや事例もたくさん使われており、比較的読みやすいかなと思いつつ、IT専業ではない中小企業の担当者の方にはこれでも難しいかなと思うところもあります。だからと言って、簡易な表現にしすぎると大事なことが伝わらないというジレンマもありそうです。
このガイドラインには「情報セキュリティ5か条」という2ページのチラシも入っていますので、まずはこれをさらっと読んでもらって、「5分でできる！情報セキュリティ自社診断シート」から手を付けてもらうのが良いかと思いました。

そして、セキュリティ対策を考えなければならない中小企業の担当者に、このガイドラインが届かないと意味がありません。おそらく現時点ではこのガイドラインに気付いている人はかなり少ないでしょう。
IPAのプレスリリースの最後には

また、この普及活動にあたっては、中小企業との関わりの強い商工団体や士業の団体、IT関連団体などとの協力・連携により、全国各地のセミナーの開催などを通じて推進していく予定です。

と書いてあります。地方の商工会議所などと連携していくのだと思いますが、地道な普及活動を期待したいところです。
IPAのことをご存じでない中小企業が大多数かと思いますので、お読みいただいた方は是非とも、知り合いの中小企業の社長さんに教えてあげてください！