このページはJavaScriptを使用しています。JavaScriptを有効にして、または対応ブラウザでご覧下さい。

閉じる
閉じる
閉じる
セキュリティ対策で信頼度UP!中小企業にも求められる「情報セキュリティ監査」とは

セキュリティ対策で信頼度UP!
中小企業にも求められる「情報セキュリティ監査」とは

2024 11/8
昨今、サイバー攻撃による個人情報の漏えいリスクが増加しており、多くの企業でもリスク対策の観点から、関連会社や取引会社にセキュリティ監査を依頼することも珍しくなくなってきています。本記事では、情報セキュリティ監査とは何か、その目的や調査項目、中小企業が取り組むべき準備と対策について解説します。

情報セキュリティ監査とは

情報セキュリティ監査とは、企業組織保有する情報を守るために、セキュリティ対策システム運用弱点を洗い出し、脅威に対する準備万全かどうかを評価するプロセスです。
個人情報の取り扱い状況などをガイドラインをもとにチェックし、セキュリティリスク可視化や、必要対策実施を行うために行います。

多くの大企業では、定期的社内監査実施し、自社セキュリティ対策見直していますが、近年増加している情報漏えい事件サイバー攻撃影響を受け、取引先企業にも監査依頼する企業が増えてきています。
この監査結果によっては、取引継続判断となるケースもあるため、自社においても日常的セキュリティ対策を講じることが重要です。


情報セキュリティ監査の主な項目

情報セキュリティ監査実施する会社団体によって内容が異なりますが、一例としては以下のような調査項目が挙げられます。

調査項目 内容
情報セキュリティ体制・組織 社内の体制・ルールが適切に整備されているか
物理的セキュリティ パソコンやスマートフォンなどのハードウェアが適切に管理されているか
情報システム・通信ネットワークの運用管理 業務で使用するシステムやネットワークの運用管理状況の確認
情報・情報システムへのアクセス制御 誰がどの情報にアクセスできるか、その管理体制が適切に整備されているかの確認
情報セキュリティの事故対応 サイバー攻撃や情報漏えいが発生した場合の対応策が整備されているか

情報セキュリティ監査では社内情報セキュリティ体制運用状況個別システムネットワーク運用リスクまで細かくチェックされます。
そのため、ある日突然取引先から情報セキュリティ監査依頼を受けて慌てないためにも、日頃からさまざまな準備対策を講じておくことが求められます。

情報セキュリティ監査にあたって中小企業に求められる準備や対策

情報セキュリティ監査を受けるにあたり、中小企業にはどのような準備対策が求められるのでしょうか。事前必要対応をしっかりと行うことで、監査結果がより効果的改善につながります。ここでは、準備すべきポイントをわかりやすく解説します。


1. セキュリティルールやガイドラインの確認・見直し

情報セキュリティ監査を受ける際は、企業内設定しているセキュリティルールガイドライン内容確認し、必要に応じて見直すことも大切です。特に中小企業では、セキュリティ対策重要性十分認識されていないこともあり、ルール曖昧なまま運用されているケースがあります。
そのため、後述対策日常的に行うことが重要です。


2. ハードウェアやソフトウェアの更新

OSを最新版更新をはじめ、ファイアウォールセキュリティソフトなどを導入しているか、それらが適切バージョンアップされているかも重要ポイントとなります。
専任システム管理者不在企業では、日常的ハードウェアソフトウェアメンテナンスが行われていないケース見受けられます。PCやスマートフォンはもちろん、サーバールーターファイアウォールなどのネットワーク機器最新バージョン更新されているか、セキュリティパッチ (注1)適用されているかを確認しておくことが重要です。
自社システム管理者不在であったり、専門的知識がなく対処が難しい場合には、専門業者依頼することも検討してみましょう。


3. 安全に業務を遂行できるセキュアな環境の整備

情報システム・通信ネットワーク適切運用管理するためには、セキュア環境整備しておくことが重要です。
しかし、システムネットワーク構築には多額コスト専門的知識高度技術も求められ、自社での導入にはハードルが高いと感じられる中小企業も多いことでしょう。
そのような場合には、外部サービス利用するという選択肢もあります。
たとえば、KDDIではウィルス対策リモートデスクトップサービス (注2)セキュリティブラウザ (注3) などのサービスを2つまで選択できる「ベーシックパックプラス」を提供しており、安全にPCやスマートフォン活用できるセキュリティ体制構築支援しています。


4. パスワード設定と適切な管理

業務使用するシステムや、重要情報保存されているフォルダファイルなどにはパスワード設定しておくことでセキュリティリスク低減できる可能性があります。
たとえば、各種システムログインする際のパスワード定期的変更したり、二段階認証必須にすることは不正アクセスを防ぐための基本的対策のひとつに挙げられるでしょう。


5. 機密情報の取り扱いの厳格化

個人情報機密情報の漏えいを防ぐためには、パスワード設定だけでなく、特定社員のみにアクセス権限付与することも基本的対策となります。
申込書顧客リストなどを紙で管理している場合には、個人情報を扱う部屋入退室管理徹底することが大切です。
また、万が一情報漏えいが発生した場合に備えて、アクセスログ記録しておくと早期原因究明につながる可能性もあるでしょう。
加えて、機密情報個人情報の漏えい事故発生した際、まず誰に報告するのか、報告方法ルート明確にしておいたり、どのような初動対応が求められるのかをマニュアル記載しておくことも大切です。
 

  • 注1) セキュリティパッチソフトウェア不具合脆弱性解消するために配布されるプログラム
  • 注2) リモートデスクトップサービス:離れた場所から会社のPC画面閲覧操作できるサービス閲覧するデバイス側にデータは残りません。
  • 注3) セキュリティブラウザWebサイト閲覧履歴キャッシュPCに残らないWebブラウザ

情報セキュリティ対策でお困りの中小企業のお客さまはKDDIへご相談ください


情報セキュリティ監査を受けることで、リスク可視化だけでなく、取引先顧客からの信頼性を高めることができます。また、監査によって得られるフィードバックをもとに、将来トラブル未然に防ぐことができるため、長期的企業安定成長にもつながっていきます。まずは今回紹介した監査内容ポイント参考にしながら、自社でできることから少しずつ始めていきましょう。
ただし、情報セキュリティ監査毎年実施することが推奨されているため、一度監査を行って終わりではなく継続的対策が求められます。

自社にどのような対策が求められるのか分からず悩んだときは、KDDIの「法人オンライン相談デスク」をぜひご利用ください。KDDIでは情報セキュリティ対策のさまざまなソリューション提供しているため中小企業のお客さまが抱えるお悩みを解決するためのさまざまなご提案をさせていただきます。

KDDIのサポート活用し、今すぐできる対策から一歩ずつ進めていきましょう。

  • ※ 2024年11月現在情報です。

関連サービス


ピックアップ