東京都産業労働局は2025年1月、ガイドブック「中小企業向けサイバーセキュリティ対策の極意」Ver3.0を公開しました。
同資料は2017年にも一度このコラムで紹介していますが、その最新版が改めてまとめられています。大きな変化はないようでしたが、まだ読んだことのない方にとっては非常によくまとまった、正に中小規模の企業にふさわしい解説書です。
ただ、このように紹介してもなかなか届いて欲しいところにこそ届かないのがセキュリティの情報です。そこで今回は、全文をしっかり読んでほしいという正直な思いをグッとこらえ、少しでも興味を持ってもらうために、このドキュメントのオススメページを5ページだけ紹介しようと思います。
●1~2ページ目:サイバー攻撃で「経営者に問われる責任」を理解せよ
まずは、経営者が知っているつもりでなかなか腹落ちしていない、「経営者に問われる責任」についてまとめられたページです。もはや多くの報道で感覚がマヒしつつありますが、情報漏えいやサービス停止により、ビジネスが停止してしまうだけでなく法的責任が経営者に問われます。
加えて、取引先や顧客から厳しい目が向けられ、インシデントの前と後では何もかもが変化してしまう可能性があります。それをしっかりと対応しなければならないということを理解するためのページです。このドキュメントを経営者に見てもらうために印刷するなら、まずはここかもしれません。
●3~4ページ目:最低限やらなければならない「対策」は割と単純?
次はこの見開きです。サイバー攻撃は高度化し、それに対応するための高価なソリューションが必要と思い込んでいるかもしれませんが、基本的なセキュリティ対策というのは割と当たり前のことばかりが並んでいます。同書で紹介されている「情報セキュリティ5か条」は以下の通りです。
1. OSやソフトウェアは常に最新の状態にしよう!
2. ウイルス対策ソフトを導入しよう!
3. パスワードを強化しよう!
4. 共有設定を見直そう!
5. 脅威や攻撃の手口を知ろう!
「共有設定」というのは企業組織特有の内容で、このコラムではあまり触れてきませんでしたが、クラウドサービスを利用している場合、その公開範囲を限定的にすることや、管理コンソールに接続できる端末を限定するなどの対策が重要です。また、ユーザーの権限管理も含まれており、組織の規模にかかわらず非常に重要な項目であり、多くの組織で対策が漏れている可能性が高い内容です。システム管理者や人事部だけでなく従業員全員が読むべき見開きだと感じます。
●最後のページ:できることはすぐやろう!
同書の大きなポイントは、イラストを多用し、特に冒頭ではコミックス形式で事例を紹介し、ハードルを下げているところでしょう。しかし内容は非常に高度なものも含まれ、関連するドキュメントへのリンクもカバーし、まずはこの1冊を手に取ることで次のアクションが取れるという意味で、非常に有用なドキュメントです。
特に筆者が注目したのは、目次としてまとめられた冒頭のページです。
ポイントは「すぐやろう」マークです。セキュリティ対策を講じる上では、ソリューションの購入から始めるのではなく、すぐに考えて、まずはできるところから手を動していくのが大事です。手や思考が止まる前に、同書で示された「すぐやろう」マークがある部分を重点的にチェックし、その通り「すぐやる」ことで、組織のセキュリティを迅速に強化できるでしょう。
本当は同書を全部読んでほしいところではありますが、まずは入り口として今回挙げたページだけでもチェックしてほしいと思います。対象は経営者やシステム管理者だけでもなく、組織に属する従業員全員です。非常に平易な文章ですので、これを手にすることで「セキュリティ対策」がウイルス対策ソフトやEDR(Endpoint Detection and Response)を入れることだけではなく、「人」に対する部分がかなりを占めることも理解できるでしょう。
同書には、参考文献として引用したドキュメントのリストが別添えでリストアップされています。次のステップは、これらのドキュメントにも目を通すことかもしれません。ここまで全てが「無料」。2025年のスタートにぜひ、これらのドキュメントを活用してみてはいかがでしょうか。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。