SECURITY ACTION
「二つ星」を宣言しました
情報セキュリティアクション・プロジェクト 槌谷 祐一
企業の情報資産の窃取や業務妨害を狙ったサイバー攻撃・犯罪は巧妙化・悪質化しており、これらのターゲットは政府機関や大手企業のみならず、近年では中小企業にまで拡大しています。このような背景を踏まえ、中小企業や団体が自発的に情報セキュリティへの取り組みを促進する制度として、IPA(独立行政法人情報処理推進機構)が創設した制度がSECURITY ACTIONです。会報誌34号に概略を紹介しましたが、当会はSECURITY ACTION に取り組むことを宣言しました。
この記事では、二つ星宣言に向けての活動経過を報告します。
情報セキュリティの脅威が中小企業にも拡大している現状に鑑み、当会でも、運営委員会で議論し、組織全体から7名のメンバーを選出し、プロジェクトチームで取り組みを開始しました。
2022年12月18日 責任者は理事長、主幹は事務局として、ロゴマーク一つ星を申請し、情報セキュリティに取組むことを宣言。
2023年1月 組織全体からメンバーを選出し、プロジェクトチーム(7名)で、取り組み開始。
・目的:当会の情報セキュリティに関し、課題摘出・基本方針・体制整備・管理規程・運用基準類を 整備し、実行すること。
・目標:課題を明確にし、半年後に二つ星ロゴマークによる自己宣言ができるように準備する。
2月:一つ星ロゴマークを会報誌、HP(ホームページ)に掲載。
・ロゴマーク:一つ星は中小企業情報セキュリティ・ガイドライン付属の「情報セキュリティ5ケ条」に取り組むことを宣言した団体・中小企業であることを示すものです。 そこで当会の個人会員・役員全員に「情報セキュリティ5ケ条」を配布し、勉強会を開催しました。
・当会内の情報セキュリティ上の課題を列挙し、整理して解決策の検討を始めました。
4月:情報セキュリティ基本方針の設定:(HP:情報セキュリティアクション (cluster.jp))
・IPA発行の雛形を基に、当会が考えていく必要がある項目を織り込んで、運営委員会で議論し、決定しました。またこの基本方針をHPに公開しました。
6月:“5分でできる自社診断” 及び情報セキュリティ管理規程の策定。
・5分でできる自社診断:2月に実施した時は平均点50前後で、情報セキュリティのリテラシーは必ずしも良好とは言えない状態でした。そこで対面による勉強会、オンライン通信による勉強会を2度実施し、各人の研鑽もお願いしました。6月に再度実施し、平均点は72点となり、十分とは言えませんが、まずまず合格点と評価しました。
・情報セキュリティ管理規程の策定: PISM(神奈川県印刷工業組合の情報セキュリティマネジメントシステム)の例をモデルに当会向けに変更修正し、策定しました。
内容は目的・定義・管理体制・機密の分類、遵守事項、維持向上できる体制として内部監査等を 織り込んであります。
7月:二つ星 申請: ・情報セキュリティ基本方針をHPに掲載していること。及び“5分でできる自社診断”結果がすれすれではありますが、合格点と考え、IPAに二つ星のロゴマーク使用の申請を7月19日に行いました。
8月:申請内容について、IPAから8月1日に承認が得られ、「二つ星」を宣言しました。
今後の活動:
- 二つ星のロゴマークをHP、会報誌や名刺等に掲示できることになりましたが、課題はいくつか残っており、継続して検討していきます。例えば運用基準(ハンドブック作成)、当会の共用データの保存はクラウドの利用、またメールアドレスは個人用ではなく、当会のドメインを利用可能とする等であります。
- この活動によって当会の情報管理に対する信頼性向上に寄与するとともに、この経験を活かし、中小企業様が情報セキュリティの取組みの際に、伴走支援をしてゆきます。
余談ながら、この活動はプロジェクト会議を1~2回/月、すべてオンライン通信(Zoom)で実施しました。個人会員は横須賀・横浜方面が中心ですが、町田・平塚と遠方の方もいます。対面と異なり会議室の予約や会議場所までの往復時間・交通費を考慮するとかなり経済的にプロジェクトを進めることができたと考えています。