セキュリティ対策で信頼度UP！
中小企業にも求められる「情報セキュリティ監査」とは

情報セキュリティ監査は実施する会社や団体によって内容が異なりますが、一例としては以下のような調査項目が挙げられます。

情報セキュリティ監査では社内の情報セキュリティ体制や運用状況、個別のシステムやネットワークの運用リスクまで細かくチェックされます。
そのため、ある日突然取引先から情報セキュリティ監査の依頼を受けて慌てないためにも、日頃からさまざまな準備や対策を講じておくことが求められます。

情報セキュリティ監査を受けるにあたり、中小企業にはどのような準備や対策が求められるのでしょうか。事前に必要な対応をしっかりと行うことで、監査の結果がより効果的な改善につながります。ここでは、準備すべきポイントをわかりやすく解説します。

情報セキュリティ監査を受ける際は、企業内で設定しているセキュリティルールやガイドラインの内容を確認し、必要に応じて見直すことも大切です。特に中小企業では、セキュリティ対策の重要性が十分に認識されていないこともあり、ルールが曖昧なまま運用されているケースがあります。
そのため、後述の対策を日常的に行うことが重要です。

OSを最新版に更新をはじめ、ファイアウォールやセキュリティソフトなどを導入しているか、それらが適切にバージョンアップされているかも重要なポイントとなります。
専任のシステム管理者が不在の企業では、日常的にハードウェアやソフトウェアのメンテナンスが行われていないケースも見受けられます。PCやスマートフォンはもちろん、サーバーやルーター、ファイアウォールなどのネットワーク機器が最新バージョンに更新されているか、セキュリティパッチ (注1) が適用されているかを確認しておくことが重要です。
自社にシステム管理者が不在であったり、専門的な知識がなく対処が難しい場合には、専門の業者に依頼することも検討してみましょう。

情報システム・通信ネットワークを適切に運用管理するためには、セキュアな環境を整備しておくことが重要です。
しかし、システムやネットワークの構築には多額のコストと専門的な知識・高度な技術も求められ、自社での導入にはハードルが高いと感じられる中小企業も多いことでしょう。
そのような場合には、外部サービスを利用するという選択肢もあります。
たとえば、KDDIではウィルス対策やリモートデスクトップサービス (注2) 、セキュリティブラウザ (注3) などのサービスを2つまで選択できる「ベーシックパックプラス」を提供しており、安全にPCやスマートフォンを活用できるセキュリティ体制構築を支援しています。

業務で使用するシステムや、重要な情報が保存されているフォルダ、ファイルなどにはパスワードを設定しておくことでセキュリティリスクを低減できる可能性があります。
たとえば、各種システムにログインする際のパスワードを定期的に変更したり、二段階認証を必須にすることは不正アクセスを防ぐための基本的な対策のひとつに挙げられるでしょう。

個人情報や機密情報の漏えいを防ぐためには、パスワードの設定だけでなく、特定の社員のみにアクセス権限を付与することも基本的な対策となります。
申込書や顧客リストなどを紙で管理している場合には、個人情報を扱う部屋の入退室管理を徹底することが大切です。
また、万が一情報漏えいが発生した場合に備えて、アクセスログを記録しておくと早期の原因究明につながる可能性もあるでしょう。
加えて、機密情報や個人情報の漏えい事故が発生した際、まず誰に報告するのか、報告の方法やルートを明確にしておいたり、どのような初動対応が求められるのかをマニュアルに記載しておくことも大切です。