先日、「まずはここから。SECURITY ACTION一つ星で始めるセキュリティ対策」という記事を書きました。 一つ星は、言わば スタートライン です。 でも、本当に大切なのは、その先にあります。 一つ星のその後、どうなっていますか？ ウイルス対策ソフトは入れた OSアップデートは気をつけている パスワードも以前より意識している とても良いことです。 ただ、こんな状態になっていませんか？ 担当者しか分かっていない 社員によって対応がバラバラ ルールが頭の中にしかない これでは「対策しているつもり」になってしまいます。 二つ星の本質は「ルール化」 IPA （情報処理推進機構） が推進するSECURITY ACTIONの「二つ星」は、 情報セキュリティ基本方針の策定 社内ルールの明文化 継続的な見直し がポイントになります。 難しそうに見えますが、本質はとてもシンプルです。 セキュリティを人任せから「会社の仕組み」に変えること これが二つ星です。 「規程」と聞くと重く感じますが… よくある誤解があります。 「うちは中小企業だから、立派な規程なんて無理

「SECURITY ACTION」という言葉を聞いたことはあるけれど、 何をすればよいのか分からない―― そんな中小企業の方も多いのではないでしょうか。 SECURITY ACTIONは、IPA（情報処理推進機構）が提供している 中小企業向けの情報セキュリティ対策の自己宣言制度です。 そして、その最初の段階である「一つ星」は、 特別なツールや高度な技術がなくても、すぐに始められる内容になっています。 今回は、SECURITY ACTION一つ星で求められる 「情報セキュリティ5か条」を、実務の視点で解説します。 SECURITY ACTION一つ星の条件は 「情報セキュリティ5か条」 SECURITY ACTION一つ星は、 次の5つの基本対策に取り組むことを宣言することで取得できます。 一つずつ見ていきましょう。 ① OSやソフトウェアを最新の状態にする これは最も重要な対策です。 古いOSやソフトウェアは、 すでに知られている「弱点（脆弱性）」をそのまま放置している状態です。 実際の現場では、次のようなケースをよく見かけます。 Windows

経産省の「セキュリティ対策評価制度」という言葉を聞いて、 多くの中小企業の経営者や担当者は、こんな印象を持つのではないでしょうか。 何だか難しそう 高度なセキュリティ対策が必要そう 専門のIT担当がいないと無理そう ですが、最初にお伝えしておきたいことがあります。 この制度は、セキュリティを“強化させる”ための制度ではありません。 この制度が見ているのは「技術」ではない 誤解されがちですが、セキュリティ対策評価制度で主に見られているのは、 最新のセキュリティ製品を使っているか 高度な防御ができているか ではありません。 評価されるのは、もっと基本的な部分です。 誰が判断するのか決まっているか 何を守るべきか整理されているか 事故が起きたとき、最低限どう動くか考えられているか つまり、 「ITやセキュリティを、経営として扱えているか」 が問われています。 なぜ「評価制度」という形を取っているのか この制度の背景には、はっきりした目的があります。 それは、 中小企業に“高度な対策”を求めることではなく、 取引先が安心して仕事を任せられる最低ラインを示

セキュリティ対策というと、 「まずはツールを導入する」 「全従業員に研修を実施する」 といった対策を思い浮かべる方が多いかもしれません。 実際、ITワークラボにご相談いただく中小企業の多くでも、 最初のご要望は 「何か良いセキュリティ製品はありませんか？」 「全員研修をやった方がいいですよね？」 という形で出てきます。 もちろん、ツール導入や研修は重要な対策です。 ただし、ここで一度立ち止まって考えていただきたいことがあります。 全員研修が抱えやすい“現実的な課題” 全従業員を対象にしたセキュリティ研修は、分かりやすい反面、次のような課題を抱えがちです。 研修費用が高くなりやすい 業務時間をまとめて確保する必要がある すでに知識のある人にとっては内容が重複しやすい その結果、 「コストをかけた割に、どれだけリスクが下がったのか分からない」 という状態になってしまうことも少なくありません。 これは研修そのものが悪いのではなく、 「誰に、どの程度の対策が必要なのか」が見えないまま実施している ことが原因です。 標的型メール訓練が“起点”になる理由..