2026年4月30日未分類

IPA公開情報を用いたセキュリティ対策導入

セキュリティ対策が整備されていない中小企業やスタートアップ企業向けに実施している、セキュリティ対策導入の一例です。

IPA（情報処理推進機構）が推奨している手順、公開しているツールを活用しながら進めていき、企業の実態や文化に合わせた調整を行うのが通常の流れです。

企業の文化に合わせる必要があるというのは私個人の考えで、業務において異質と感じるものは受け入れられないことが多いためです。

そのためルールやポリシー等、企業のメッセージ性を伴うものは導入先企業の方に考えてもらうことになります。

その組織特有の言い回しや流儀に反すると、どうしても自分たちで作り上げたルールという実感が湧かず、結果として浸透しないからです。

そういった事情があるので、文化を把握するため時には職場にお邪魔したり、その企業がお仕事で相対するお客様にご挨拶することもあります。
物理的な意味で職場を理解しておくことは、セキュリティの観点でも大きく寄与します。

作業ケース

直近で多かったご依頼から、以下の想定作業ケースを記載します。

要望

セキュリティポリシーを導入したい。

理由

• セキュリティ関連課題の噴出

  • 取引先企業から契約前にセキュリティチェックリストを渡された
  • セキュリティポリシーを制定していることが契約の条件になっているが、現在、自社にセキュリティポリシーがない

• 人材不足

  • セキュリティポリシーを策定する必要があるが、できる人間がいない

• 現場の危機感

  • 我が社ではセキュリティに関する方針が決まっておらず、いざというときの対策がないことに危機感がある
  • 経営層に必要性を訴えてはいるがなかなか響かない

これらの要素が重なった結果、ご依頼に至るようです。

特に現場は必要性を感じているが経営層が感じていないケースですと、身近な同業他社の事故事例を用いて必要性を訴えるお手伝いから始まります。

セキュリティ対策はうまくいったからといって売り上げが得られるわけではないという考えが未だにありますが、近年のランサムウェア被害を目の当たりにし、もはや事故は避けられないものという前提での対策が急務と舵を切るケースもあります。

目標

• セキュリティポリシーを策定する
• 一般的なセキュリティチェックリストを通過できるルールを制定する

方針

• IPAの公開情報を活用し、大まかな方針はガイドラインに則って進める
• 業務の実態を鑑み、明らかに不要もしくは過剰になりかねないルールは保留扱いとする（※期限があるため）
• ポリシーやルールで掲げる文言は、既存の社内文書や公開情報と違和感なく融合するように適宜調整する（※お客様側作業）

参考記事（一例）

以下の情報を活用して作業を進めます。
IPAを中心に、様々な公開資料やツールが存在します。

【現状把握】

• 5分でできる！情報セキュリティ自社診断
• 情報セキュリティ対策ベンチマーク

【ルール策定】

• 中小企業の情報セキュリティ対策ガイドライン
• サイバーセキュリティ経営ガイドラインと支援ツール

【セキュリティ対策】

• 中小企業向け情報セキュリティ対策
• 情報セキュリティ10大脅威
  

---

1. 全体の方針を決める

まずはセキュリティポリシーとルールの方向性を決めます。

目的と基本方針を明確にする

• 何を守るのか、情報資産を特定する
• どのレベルのセキュリティを目指すのか決める
• 誰が責任者になるのか明示する

セキュリティルールの策定

冒頭にもあるとおり、これは自社の言葉で語ってもらう必要があるため、きちんとかみ砕いて理解した上で文書化を進めていただきます。

• 従業員が守るべき基本ルール（パスワード管理、アクセス制御など）
• 外部とのデータのやり取りのルール（USB使用禁止、メール添付制限など）

業務を阻害するルールにならないよう、次のリスクアセスメントのステップと完全には切り離さず、相互的に作業します。

---

2. 現状のリスクを把握する

自分たちに起こりうるリスクを洗い出します。
起こりえないリスクまでルールにする必要性が低いことや、思いがけないリスクが顕在化することから「1. 全体の方針を決める」と「2. 現状のリスクを把握する」は往復や併走が発生します。

IT資産の棚卸し

• 社内のPC、サーバー、ネットワーク機器、クラウドサービスを洗い出して把握する
• どの情報（顧客情報、設計データなど）がどこにあるか特定する

リスク分析

• データの流れを確認し、漏洩や不正アクセスのリスクを特定する
• 従業員のセキュリティ意識や対策レベルを把握する

---

3. 最低限の技術的な対策を実施する

IT担当者が不在だったり、工数が確保できないなどの理由から、技術的対策は最低限にせざるを得ない場合が多いです。

基本的なセキュリティ対策（一例）

• OS、ソフトウェアの更新を徹底（Windows Update、セキュリティパッチ適用など）
• アンチウイルスソフト導入（EDRの導入も検討）
• ファイアウォールの設定（不要なポートを閉じる）
• アクセス権限の適正化（不要な管理者権限を削除する）
• バックアップの実施（重要データを定期的にバックアップし、復元テストを行う）

これらは技術的な難易度は低いものの、工数不足から放置されがちです。
人に頼らず仕組み化することで形骸化を防げます。
そのためルールやポリシーに落とし込んでしまうことを推奨します。

---

4. 従業員へのセキュリティ教育を実施する

最終的な判断の要となるのはやはり人であり、それが活きるための環境整備が欠かせません。

最低限の教育内容

• フィッシングメールの見分け方
• パスワードの適切な管理（多要素認証の活用推進）
• 機密情報の取り扱いルール
• 不審な動きがあった場合の報告フロー

フィッシングメールは巧妙さを増し、もはやメールは日常的な業務伝達手段から切り離した方が良いと考えます。

---

5. インシデント対応計画を策定する

ポリシーやルールがあっても機能しない理由は、訓練していないからです。
いざというときの行動こそ、自然にとれるように訓練する必要があります。

対応の流れを事前に決めておく

• ウイルス感染や情報漏洩が発生した場合の連絡先共有
• 初動対応の手順（端末隔離、ログ取得など）
• 社内外への報告ルール（必要に応じて警察やIPAへの通報）

---

6. 継続的な見直しと改善

セキュリティ界隈を取り巻く状況は短期間で驚くほど変わり続けています。
継続を止めることは、最初からやらないことと同義になりかねません。

定期的な見直しを実施

• 年に1回はリスクアセスメントを実施する
• 外部のセキュリティサービスや専門家の活用も検討する

ルールの形骸化や陳腐化を防ぎ、第三者目線を入れるという意味でも外部サービスの活用をおすすめしています。

---

まとめ

かなり簡易的ではありますが、以上がセキュリティ対策導入でお手伝いする内容です。

最近では生成AIを活用することで、セキュリティに関連する情報の収集や、ポリシー・ルールの社内最適化がかなりやりやすくなっています。

日常的なセキュリティチェックやアドバイスを生成AIに任せられるよう、ポリシーやルールをAIが理解できる構造に変換する取り組みも盛んです。

AI活用という側面からも、セキュリティ対策導入に取り組むと面白いと思います。

その他

余談ですが、私はセキュリティ対策導入の業務をお手伝いする場合、企業側の担当者も正当に評価されることをお願いしています。

そのため導入に際しては具体的な数値目標を設定してもらい、達成と未達成が分かるようにしてもらいます。

これはインシデントの発生率、不要アカウントの削除率、セキュリティ研修受講率など、その企業がセキュリティを高めて達成したいものであれば何でも構いません。

これがあると目標に対しての連帯感が生まれ、良い結果になりやすいと感じています。

---

お問い合わせ

セキュリティ対策に関する業務支援はお問い合わせページよりお気軽にご相談ください。
題名を「セキュリティ対策導入相談」にしていただくようお願いします。

• セキュリティポリシーを導入したい
• セキュリティが分かる人員を配置したい、育てたい
• セキュリティ事故があった場合の対策が欲しい
  など