「SECURITY ACTION」という言葉を聞いたことはあるけれど、 何をすればよいのか分からない―― そんな中小企業の方も多いのではないでしょうか。 SECURITY ACTIONは、IPA（情報処理推進機構）が提供している 中小企業向けの情報セキュリティ対策の自己宣言制度です。 そして、その最初の段階である「一つ星」は、 特別なツールや高度な技術がなくても、すぐに始められる内容になっています。 今回は、SECURITY ACTION一つ星で求められる 「情報セキュリティ5か条」を、実務の視点で解説します。 SECURITY ACTION一つ星の条件は 「情報セキュリティ5か条」 SECURITY ACTION一つ星は、 次の5つの基本対策に取り組むことを宣言することで取得できます。 一つずつ見ていきましょう。 ① OSやソフトウェアを最新の状態にする これは最も重要な対策です。 古いOSやソフトウェアは、 すでに知られている「弱点（脆弱性）」をそのまま放置している状態です。 実際の現場では、次のようなケースをよく見かけます。 Windows

経産省の「セキュリティ対策評価制度」という言葉を聞いて、 多くの中小企業の経営者や担当者は、こんな印象を持つのではないでしょうか。 何だか難しそう 高度なセキュリティ対策が必要そう 専門のIT担当がいないと無理そう ですが、最初にお伝えしておきたいことがあります。 この制度は、セキュリティを“強化させる”ための制度ではありません。 この制度が見ているのは「技術」ではない 誤解されがちですが、セキュリティ対策評価制度で主に見られているのは、 最新のセキュリティ製品を使っているか 高度な防御ができているか ではありません。 評価されるのは、もっと基本的な部分です。 誰が判断するのか決まっているか 何を守るべきか整理されているか 事故が起きたとき、最低限どう動くか考えられているか つまり、 「ITやセキュリティを、経営として扱えているか」 が問われています。 なぜ「評価制度」という形を取っているのか この制度の背景には、はっきりした目的があります。 それは、 中小企業に“高度な対策”を求めることではなく、 取引先が安心して仕事を任せられる最低ラインを示

日々の業務の中で、「パソコンの動きがいつもと違う」「ウイルス感染かも？」といった不安に直面することはあります。 そんな時、思わず とりあえず再起動 ウイルススキャンをすぐに実行 故障だと思って初期化 といった対応をしてしまいがちです。 しかし、こうした行動が その後の調査や対応を難しくすること があるのをご存じでしょうか？ 証拠保全って何？ 証拠保全とは、 後から「何が起きたのか」を確認できるように、 パソコンやログの状態をできるだけ変えずに残すこと 不正アクセスや被害の調査では、 いつ／どこから／どのアカウントで／何が行われたか という情報が、 ログやシステムの状態として残っています 。 再起動や初期化は、これらの“手がかり”を消してしまう可能性があります。 フォレンジック調査って何？ ここで出てくる専門用語に 「 フォレンジック調査」  という言葉があります。 「何のこと？」と思われる経営者の方もいるでしょう。 フォレンジック調査とは、 専門家が“デジタルの証拠”をもとに 何が起きたのかを客観的に調べる調査のことです。 イメージとしては、IT

セキュリティ対策というと、 「まずはツールを導入する」 「全従業員に研修を実施する」 といった対策を思い浮かべる方が多いかもしれません。 実際、ITワークラボにご相談いただく中小企業の多くでも、 最初のご要望は 「何か良いセキュリティ製品はありませんか？」 「全員研修をやった方がいいですよね？」 という形で出てきます。 もちろん、ツール導入や研修は重要な対策です。 ただし、ここで一度立ち止まって考えていただきたいことがあります。 全員研修が抱えやすい“現実的な課題” 全従業員を対象にしたセキュリティ研修は、分かりやすい反面、次のような課題を抱えがちです。 研修費用が高くなりやすい 業務時間をまとめて確保する必要がある すでに知識のある人にとっては内容が重複しやすい その結果、 「コストをかけた割に、どれだけリスクが下がったのか分からない」 という状態になってしまうことも少なくありません。 これは研修そのものが悪いのではなく、 「誰に、どの程度の対策が必要なのか」が見えないまま実施している ことが原因です。 標的型メール訓練が“起点”になる理由..

「IT担当がいない…何から手をつければいいの？」 そんな不安を抱えながら、日々の業務を何とか回している中小企業は少なくありません。 実際、八王子・多摩地域でも「ITの相談をできる人が社内にいない」 「担当者が退職してしまった」「そもそもITの管理方法が分からない」 といった声をよく耳にします。 ですが安心してください。 IT担当がいなくても、最初にやるべきことはシンプルな3つだけ。 今日からすぐに取り組めて、会社のITリスクを確実に下げる方法です。 ① アカウントの確認──“誰が何を使っているか”を見える化する 最初のステップはとても基本的ですが、ほとんどの企業で整理されていないポイントです。 社員は何のアカウントを使っている？ メール・クラウド・勤怠・会計など、サービスの一覧はある？ 退職者のアカウントは残っていない？ アカウントが整理されていないと、 退職者が今もログインできる状況  や 誰が何にアクセスできるのか不明な状態 が放置され、重大な事故につながりやすくなります。 まずは紙でもExcelでも大丈夫。 「会社で使っているサービス」と「