top of page
検索

SECURITY ACTION「二つ星」は、セキュリティを会社の仕組みにする第一歩

  • 3月4日
  • 読了時間: 3分

更新日:4月10日


先日、「まずはここから。SECURITY ACTION一つ星で始めるセキュリティ対策」という記事を書きました。


一つ星は、言わばスタートラインです。

でも、本当に大切なのは、その先にあります。


一つ星のその後、どうなっていますか?


  • ウイルス対策ソフトは入れた

  • OSアップデートは気をつけている

  • パスワードも以前より意識している


とても良いことです。

ただ、こんな状態になっていませんか?


  • 担当者しか分かっていない

  • 社員によって対応がバラバラ

  • ルールが頭の中にしかない


これでは「対策しているつもり」になってしまいます。


二つ星の本質は「ルール化」


IPA(情報処理推進機構)が推進するSECURITY ACTIONの「二つ星」は、


  • 情報セキュリティ基本方針の策定

  • 社内ルールの明文化

  • 継続的な見直し


がポイントになります。

難しそうに見えますが、本質はとてもシンプルです。


セキュリティを人任せから「会社の仕組み」に変えること

これが二つ星です。


「規程」と聞くと重く感じますが…


よくある誤解があります。


「うちは中小企業だから、立派な規程なんて無理」


しかし実際には、


  • USBメモリは原則禁止

  • 退職者のアカウントは即日削除

  • パスワードの共有は禁止


こうした基本ルールを紙にして、共有するだけでも十分前進です。

大企業のような分厚い規程集は必要ありません。


なぜ今、二つ星が重要なのか


最近のサイバー事故は、

高度なハッキング技術よりも「社内ルールの曖昧さ」が原因で起きることが多いのです。


  • 退職者アカウントの放置

  • バックアップ未実施

  • 委託先管理の不備


これらは、技術より運用の問題です。


だからこそ、二つ星は意味があります。


小さく始める方法


いきなり完璧を目指す必要はありません。


  1. 今ある対策を書き出す

  2. 足りない部分を洗い出す

  3. A4一枚の基本方針を作る


ここからで十分です。

大切なのは「作ること」ではなく、社員が迷わなくなることです。


二つ星は「会社の仕組みづくり」


SECURITY ACTIONの一つ星は「意識のスタート」

そして二つ星は、セキュリティを会社の仕組みにしていく段階です。


ただ実際には、


  • 何からルールを作ればいいのか分からない

  • 現在の対策が十分なのか判断できない

  • IT担当者がいない


という中小企業も少なくありません。

ITワークラボでは、こうした企業向けに


  • 現状のIT環境・セキュリティ対策の棚卸し

  • 社内ルールや基本方針の整理

  • 運用しやすいセキュリティルールの設計

  • 継続的な見直しや運用サポート


などを通じて、形だけではないセキュリティ運用をお手伝いしています。


セキュリティは、一度対策すれば終わりではありません。

日々の業務の中で、無理なく続けられる形にすることが大切です。


もし、

「今の対策で十分なのか少し不安」

「社内ルールを整理したい」

「SECURITY ACTIONに取り組みたいが、何から始めればいいか分からない」

と感じている場合は、まずは現状を整理するところからでも構いません。

ITワークラボが、あなたの会社の外部IT担当者としてサポートします。


SECURITY ACTIONの詳細については、IPA の公式サイトでも確認できます。


SECURITY ACTION 公式サイト:


そしてもし、「自社の場合はどうすればいいのか?」と感じたら、お気軽にITワークラボまでご相談ください。


小さな疑問からでも大丈夫です。

あなたの会社に合ったセキュリティの形を、一緒に考えていきます。





📖 あわせて読みたい


セキュリティ対策評価制度「何から考えるか」を間違えないために|ITワークラボ
www.it-worklab.com
セキュリティ対策評価制度「何から考えるか」を間違えないために|ITワークラボ
経産省の「セキュリティ対策評価制度」という言葉を聞いて、多くの中小企業の経営者や担当者は、こんな印象を持つのではないでしょうか。 • 何だか難しそう • 高度なセキュリティ対策が必要そう • 専門のIT担当がいないと無理そうですが、最初にお伝えしておきたいことがあります。この制度は、セキュリティを“強化させる”ための制度ではありません。この制度が見ているのは「技術」ではない誤解されがちですが、セキュリティ対策評価制度で主に見られているのは、 • 最新のセキュリティ製品を使っているか • 高度な防御ができているかではありません。評価されるのは、もっと基本的な部分です。 • 誰が判断するのか決まっているか • 何を守るべきか整理されているか • 事故が起きたとき、最低限どう動くか考えられているかつまり、「ITやセキュリティを、経営として扱えているか」が問われています。なぜ「評価制度」という形を取っているのかこの制度の背景には、はっきりした目的があります。それは、中小企業に“高度な対策”を求めることではなく、取引先が安心して仕事を任せられる最低ラインを示すことです。実際、多くの企業では、 •

SCS評価制度への対応で迷う中小企業向けに、note有料記事を公開しました!|ITワークラボ
www.it-worklab.com
SCS評価制度への対応で迷う中小企業向けに、note有料記事を公開しました!|ITワークラボ
取引先から「セキュリティ対策の状況を確認したい」と言われたとき、 • 何を整理すればよいのか • どこまで準備すればよいのか • 誰が対応すればよいのかで迷う中小企業は多いと思います。そこで今回、SCS評価制度(セキュリティ対策評価制度)への対応を求められたときに、中小企業が最初にやる10項目を、実務目線で整理したnote有料記事を公開しました。この記事では、制度の難しい解説だけではなく、 • 使っている機器やクラウドの整理 • 管理者アカウントや権限の確認 • 外部委託先の整理 • バックアップや更新確認 • 取引先に説明できる状態の整え方など、実際に手を動かすためのポイント をまとめています。また、購入者向けの付録として、次の4点も用意しました。 • 初動チェックリスト • 情報資産管理台帳(Excel) • セキュリティ対応の役割分担 参考シート • 取引先説明前の整理シート「制度の話は気になるけれど、まず何から始めればいいか分からない」という方の、最初の整理に使っていただける内容です。現在、公開記念として4月中は980円 で公開しています。5月以降は1,280円 を予定していま


関連ページ



コメント

bottom of page