必携10カ条と危険行動10態スモールビジネスに必須の「情報セキュリティ対策10カ条」

中堅・中小企業向けに、セキュリティの基本事項を分かりやすくまとめたガイドラインを米国立標準技術研究所が作成した。大企業の支社向けにも有益なものだろう。

[Linda Tucci，TechTarget]

　米商務省の非行政機関、米国立標準技術研究所（NIST）が、中小企業・組織の効果的な情報セキュリティプログラム導入を支援するガイドラインをまとめている。同ガイドラインは、IT要員が少人数またはまったくおらず、一般従業員が情報セキュリティの責任を担うことも多い大企業の支社にとっても有用なものになりそうだ。

　AP通信によると、米財務省秘密検察局は9月14日に上院国土安全保障政府活動委員会で証言し、コンピュータのセキュリティを更新していない中堅・中小企業（SMB）がサイバー犯罪の標的になるケースが増えていると指摘、中堅・中小企業がサイバースペースで危険にさらされている実態を裏付けた。

　秘密検察局のマイケル・メリット氏によると、ほとんどの攻撃は、資産情報や個人情報を盗み出す狙いで米国外の犯罪組織が仕掛けている。

　国土安全保障省・国家防衛計画総局のフィル・ライティンジャー次官補は委員会で、情報流出の87％は「単純あるいは中程度」の防御策により食い止めることが可能だったと証言した。

　NISTガイドラインの「Small Business Information Security: The Fundamentals」（PDF文書）はNISTコンピュータセキュリティ部門のコンピュータ科学者、リチャード・キッセル氏が手掛けた。まだ草案段階だが間もなく完成予定で、IT関連の専門知識がなくても理解できる。これは、中小企業経営者を対象に情報やシステム、ネットワークの守り方に関するセミナーを行ってきたキッセル氏の長年の経験に基づく判断によるものだ。

　「彼らはどうしていいのか考えも付かない」とキッセル氏は言う。聞き手は印刷業者、修理業者、医師、歯科医など。自分の専門分野には詳しいが、「専門はITでも情報セキュリティでもない」（キッセル氏）。NISTは毎年、米連邦捜査局（FBI）とSmall Business Administrationの共催でセミナーを開いているが、参加企業は平均1000社程度。新規雇用の50％を占める全米2500万社のSMBの中ではほんの一握りにすぎず、キッセル氏の危機感はさらに募った。

　「手短か、簡単でちょっとした読み物風に『あなたの情報とシステムとネットワークを守る』ということについて方法を教える文書があれば、もっと多くの人に届けられると考えた」とキッセル氏。

関連ホワイトペーパー

SMB | 情報流出 | パッチ | スパイウェア | ウイルス