インダストリー4.0、デジタル化、人工知能の進展により、デジタルデータが欠かせない日常生活が当たり前となっています。企業の規模や業種、国際展開の有無にかかわらず、情報セキュリティはすべての企業にとって重要な課題です。特に中小企業においては、2022年に改訂された国際規格ISO 27001(情報セキュリティ・マネジメント・システム)を、競争力強化の絶好の機会として捉えるべきでしょう。
中小企業の情報セキュリティ
時代は変わり、中小企業のサイバーセキュリティ要件も変化しています。多くの中小企業は急成長を遂げており、多くの場合、その分野のマーケットリーダーとなっています。そのため、独自のノウハウやビジネス上の秘密はもちろんのこと、原則としてすべてのデータや情報を不正アクセスから保護する必要性が高まっています。
この必要な保護のための対策を講じることは、体系的なアプローチを必要とする複雑な問題である。
しかし、経営資源が限られているため、中小企業が企業レベルでシームレスな情報セキュリティを実現するために必要な手段を持っていることはほとんどありません。IT部門における専門家の不足と、独自のセキュリティ・オペレーション・センター(SOC)を運営するための莫大なコストは、中小企業がサイバーセキュリティを最適化する上で立ちはだかる多くの問題のうちの2つに過ぎない。
緊迫した地政学的情勢やサプライチェーン攻撃の増加など、中小企業がサイバー犯罪者からの攻撃の増加に直面しているため、この問題はさらに深刻です。その範囲は、一斉に送りつけられるランサムウェアから、個々の企業を標的にした専門的な攻撃まで多岐にわたります。また、攻撃者はクラウド・サービスを媒介とするケースも増えており、中小企業はコストや効率上の理由からクラウド・サービスを利用することが多い。
ドイツの保険会社HDI Versicherungenが2024年に実施した調査では、中小企業の53%がすでにサイバー攻撃の標的になっていることが明らかになった。しかし、この数字は攻撃の全容を反映したものではなく、企業が公に認めたインシデントのみを記録したものである。
従業員数が249人以下で、年間売上高が5,000万ユーロ以下、または貸借対照表の合計が4,300万ユーロ以下の企業はSME(中小企業)とみなされる。これは2003年5月6日の欧州委員会の定義である。
このような印象は、ドイツの「Gothaer SME Study 2024」によると、サイバー犯罪が中小企業の48%にとって最大のリスクとなっていることからも確認できる。この調査によると、中小企業の37%が、サイバー攻撃の被害に遭うリスクは今後1年間にさらに高まると予想している。これには、ネットワークからではなく、内部的な、主に個人的な性質の、包括的な情報セキュリティの文脈で重要な役割を果たす情報セキュリティ・リスクは含まれていない。
中小企業のためのISO 27001
中小企業の情報セキュリティ責任者(ISO)およびデータ保護責任者として、機密データや情報のセキュリティを確保しなければならない昨今、選択の余地はほとんどありません。これは情報技術のセキュリティに限った話ではありません。構造的な対策、組織的な手順やプロセス、人材要件も考慮しなければなりません。人的要因もまた、情報セキュリティにおいて中心的な役割を果たし、それに応じて考慮されなければならない。
体系的な情報セキュリティのゴールド・スタンダードは、国際規格ISO/IEC 27001である。ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)を実施するための確立されたテスト基盤とガイドラインを提供するものであり、企業の組織構造、方向性、規模に関係なく適用できる。新しいISO/IEC 27001:2022の附属書Aは、組織的対策から個人的・物理的対策、技術的セキュリティ対策まで、情報セキュリティのあらゆる側面を取り上げた改訂版であり、小規模企業にとって格好の入門書となっている。
Loading...
ISO 27001:2022
44のユーザーからの質問と専門家からの回答
情報セキュリティの「新しいもの」:ユーザーや規格専門家が語る、改訂ISO 27001の有用な詳細:
- 新しい管理とは何か?
- プロセス指向について考慮すべき点は?
- いつ新規格に切り替えるべきか?
- ... ほか
新管理基準により中小企業のITセキュリティが向上
附属書Aの実用的な性質だけで、ISO 27001は中小企業にとって良い選択です。附属書Aは、合計93の情報セキュリティ対策(管理策)で構成されており、そのうち11項目は2022年の最終更新で新たに導入されたものである。
新しい管理策は、主にデジタル領域におけるデータと構造のセキュリティに焦点を当てているため、中小企業の情報セキュリティを大幅に改善できる貴重なガイドラインとなっています。ここでは、新機能の一部と、中小企業がその恩恵をどのように受けることができるかを紹介する:
- 5.7 スレット・インテリジェンス、8.16 アクティビティ・モニタリング、8.23 ウェブ・フィルタリング
サイバー攻撃を検知、予防、適時に認識するためのこれらの対策は、中小企業にとって、セキュリ ティと事業継続管理の面で、ほとんど本質的な重要性を持ちうる。中小企業は、その限られたリソースのためにサイバー犯罪に脆弱であるだけでなく、ランサムウェアが発生した場合には、一般的な債務超過にすぐに陥る可能性がある。
- 5.23 クラウドサービス利用のための情報セキュリティ
中小企業は外部のクラウドサービスを利用することが多いため、クラウドサービスの取得、利用、管理、終了に適切なプロセスを導入することは、特に関連性が高い。また、この対策は、適切なクラウドセキュリティに対するクラウドサービスプロバイダーとクラウド利用組織の間の責任も考慮に入れている。
- 5.30 事業継続のための ICT 準備態勢
事業継続は、時に深く統合されたサプライチェーンの一部として、また財務上の損失を最 小限に抑えるために、小規模企業にとっても不可欠である。事業継続のための ICT 準備」管理は、インシデント発生時の適切な組織体制と、対応と復旧手順を含む ICT 継続計画の策定を支援する。
- 8.9 コンフィギュレーション管理
現代のITランドスケープの高性能かつ安全な運用は、関係するすべてのシステム、コンポー ネント、およびアプリケーションの適切なコンフィギュレーションに大きく依存する。小企業のITセキュリティにとって良いこと一度構成すれば、ほとんどの場合、監視プロセスは自動的に実行されるため、追加の人件費はほとんど発生しません。情報技術における安全な構成管理は、技術的または技術的措置の分野に属する。
- 8.10 情報の削除、8.11 データのマスキング、8.12 データ漏えいの防止
中小企業はしばしば、独自の専門知識によって市場にニッチを作り出す。この特別な知識は成功の鍵であり、したがって保護する価値がある。情報セキュリティの技術的対策は、企業が不要なデータ流出やデータ損失を回避し、ハッカーや産業スパイの攻撃対象領域を最小化するのに役立つ。
ISO 27001の附属書Aに含まれる管理策は、特にEUにおける産業サイバーセキュリティのためのNIS 2指令が予定されていることを考慮すると、中小企業にとって大きな価値がある。
NIS2:中小企業が情報セキュリティを強化する必要がある理由
欧州連合(EU)は2022年末、ネットワーク・情報セキュリティ指令(NIS)の新版を発表した。NIS2は、重要セクターの企業に新たな情報セキュリティ要件を課すもので、データとIT構造の保護に関して多くの中小企業にも影響を与える。
NIS2指令によると、関連部門の従業員50人以上、売上高1,000万ユーロの企業は要件を満たさなければならない。中小企業とは、従業員数249人以下、売上高5,000万ユーロの企業であり、直接影響を受ける。しかし、中小企業であっても、サプライチェーンを通じて、つまり影響を受ける企業のサプライヤーとして、間接的にNIS2の影響を受ける可能性があることを認識することが重要である。2024年10月17日に発効する国別実施では、これらの限度額はさらに下方修正される可能性もある。
中小企業には、新しい要件に備えるための時間があまり残されていません。ISO 27001は、すでにNIS 2の要求事項の大部分(約95%)をカバーしているからだ。
中小企業の情報セキュリティ - まとめ
現在の脅威シナリオを考慮すると、中小企業(SME)、行政機関、地方自治体も、国際的に認知されているISO 27001規格に準拠した情報セキュリティマネジメントシステムを導入し、認証を検討すべきである。効果的なマネジメントシステムの利点は、要求事項の包括的で詳細なカタログだけでなく、特に中小企業にとって興味深いことだが、新しい2022年版の4つの章にわたって93のセキュリティ対策(管理策)をリストアップした、明確な実践志向の附属書Aにもある。
Loading...
中小企業の情報セキュリティに関しては、ISO 27001に準拠した本格的なISMSの導入と認証の必要性が高まっているだけでなく(NIS-2を見ればわかる)、構造的な要件も場合によっては根本的に変化している。というのも、今日、多くの中小企業では、ISO 9001に準拠した品質マネジメントシステムがすでに認証されており、ISO 27001とともに統合マネジメントシステムの基盤がすでに整っているため、時間、人員、コストを節約することができるからです。したがって、小規模企業向けのISO 27001は手の届くところにあります。
DQSにお任せください
DQSの認証審査は、お客様に明確な情報を提供します。人、プロセス、システム、結果に対する全体的で中立的な外部視点により、貴社のマネジメントシステムがいかに効果的で、どのように実施・管理されているかを明らかにします。私たちにとって重要なことは、私たちの審査を審査としてではなく、貴社のマネジメントシステムを充実させるものとして認識していただくことです。
私たちのアプローチは、常に監査チェックリストが終わるところから始まります。私たちが特に「なぜ」と尋ねるのは、貴社が特定の実施方法を選択した理由を理解したいからです。私たちは改善の可能性に焦点を当て、視点の転換を促します。この徹底したアプローチにより、マネジメントシステムの継続的改善のための実行可能な領域を確実に特定することができます。
読書のヒント:文書化された情報
情報の流通と処理のスピードは、今日の組織における大きな課題です。情報の多様化により、組織とそのマネジメントシステムに関連する重要な情報を特定することがますます難しくなっている。
同時に、文書化された情報を管理するための最新の通信手段の使用は、まったく新しい側面を生み出している。そのため、可用性、完全性、機密性がますます重要になってきている。しかし、可用性の程度が高まるにつれ、適切な保護措置を講じない限り、情報セキュリティは低下する。
信頼と専門知識
リヒトテキストのテキストやパンフレットは、リヒトテキストの規格専門家または長年の監査経験者のみが執筆しています。テキストの内容や著者へのサービスに関するご質問は、こちらまでお問い合わせください。
DQSのメールマガジン
メルマガを登録して、あなたのビジネスに役立つ最新情報を入手しましょう。
著者名
アンドレ サッケル
DQSの情報セキュリティ管理プロダクトマネージャーであるアンドレ・サッケルは、情報セキュリティとITセキュリティカタログ(重要インフラストラクチャ)分野の規格専門家として、以下の規格および業界固有の規格を担当しています:ISO 27001、ISIS12、ISO 20000-1、KRITIS、TISAX(自動車産業における情報セキュリティ)。さらに、彼はドイツ標準化協会DINの国内代表として、ISO/IEC JTC 1/SC 27/WG 1作業部会のメンバーでもあります。
Loading...
