不定期配信　マウスちゃんとメモリ主任のＩＴ１年生３６

情報の重要性が増す昨今、弊社では情報セキュリティについて、その意義や情報を共有する取り組みを続けています。
担当チームが社内向けにまとめた資料などを基に、軽い読み物を不定期でお届けできればと思いますので、ご笑覧頂ければ幸いでございます。

　営業から帰ってきたイーさん。「マウスさん、今大丈夫？」と声を掛けます。
「はい、大丈夫ですよ。どうされました？」
「実はお客さんから、『新年度に向けて、うちでも情報セキュリティの強化を考えてるんだよね』って相談を受けて。何から手をつければ良いと思う？って聞かれたんだけど、答えられなくて。」
「え、私も詳しくないですよ。」
「営業で一番詳しいのはマウスさんだから、相談に乗ってもらえないかなって。」
「それならメモリ主任に相談しましょうよ。」
　イーさんを引っ張るようにして、メモリ主任の元に向かいます。

「あくまで当社の場合ですが」
　前置きをして、メモリ主任、２人の相談に乗ってくれます。
「まずは情報処理推進機構の中小企業向けセキュリティ対策を基に、『情報セキュリティ５か条』の確認から始めました。」
「ＯＳやソフトウエアを最新にすること、とか、ウイルス対策ソフトを導入しよう、とかですね。」
「そうですね。自社の状態を把握するのに『５分でできる！情報セキュリティ自社診断』というのも公開されていますから、そちらを試してみることでも自社の状態を把握することができます。営業の方のＳＷＯＴ分析のようなものですね。」
「現状を把握し、強みを伸ばして弱みを補っていくということですね。」
「はい。それから、当社の情報資産を洗い出し、リスクを分析して、当社の状況に合った規程をつくって周知。合わせて定期的なアップデート確認と情報に関する動向などの全社員への連絡を開始して、これは今も継続中です。」
「いろいろ決めて対策して終わり、じゃなくて、活動を継続する必要があるんですね。」
「次々と新しい攻撃や脅威が発生していますからね。そのたびに対策をしたり、以前の対策がほころびていないか、規程が守られているか、現状にそぐわない部分が出てきていないかなどを確認する必要があります。」

「全社での対策を考えておられるなら、『ＳＥＣＵＲＩＴＹ　ＡＣＴＩＯＮ』という仕組みもありますよ。」
「セキュリティアクション？」
「中小企業が、『当社は情報セキュリティに取り組んでいますよ』ということを自己宣言する仕組みです。どこかの機関のお墨付きが得られるといった認定制度ではなく、あくまで自社として宣言するだけの仕組みではありますが、目標を決めて、取り組んで、方針を公開して、といったことを実施することで、お客様やお取引先様にロゴマークを印刷した名刺や封筒、会社案内などをお渡ししたり、サイトに表示したりできるようになるので、取り組みをアピールすることができます。」
「そうか。せっかく実施しているなら、こんな取り組みしてるよって分かって頂けた方が良いですもんね。」
「ＩＴに関する補助金や助成金で、宣言していることが申請要件になっているものもあるようですから、そちらも確認した方が良いでしょうね。」

「中小企業の場合、情報セキュリティにかけられる人員も費用も大企業のように潤沢ではありません。ですが、サイバー攻撃のリスクは大企業も中小企業も変わらない。サプライチェーン攻撃が広がってきた昨今では、むしろ中小企業の対策の方が重視されているかもしれません。」
　だから精一杯の対策は必要だ、というメモリ主任にお礼を言って、２人は営業部に戻ります。
「メモリ主任に相談して良かったですね。」
　そういうマウスちゃんに、
「そうだね。・・・最初からそうするべきだってことは分かってたんだけど・・・」
「じゃあ、どうして私に？」
「・・・マウスさんに相談したら、自分で行かなくても、メモリ主任に聞いてもらえるかなって・・・」
　口ごもるイーさんに、『メモリ主任対策自己宣言』をしてもらった方が良いかな、と、どちらかというとメモリ主任に対して失礼なことを考えるマウスちゃんなのでした。