はじめに:セキュリティは「ツール」を入れる前に、「姿勢」を示すことから
この度、株式会社セイユーネットワークシステムは、情報セキュリティ対策に取組むことを自己宣言する制度「SECURITY ACTION」において、「二つ星(★★)」を宣言いたしました。
それに伴い、当社の情報セキュリティ基本方針(セキュリティポリシー)を策定・公開しました。これは、私たちのような小さな会社にとっても、決して「大げさなこと」ではありません。むしろ、デジタル化が進む現代において、企業として信頼を得るための「最低限のマナー」だと考えています。
そもそも「SECURITY ACTION」とは?
IPA(独立行政法人情報処理推進機構)が推進する、中小企業自らが「情報セキュリティ対策にお取組みます」と宣言する制度です。取り組みの段階に応じて、以下の2段階があります。
- 一つ星(★):「情報セキュリティ5か条」に取り組むことを宣言する。(OSの更新、ウイルス対策ソフトの導入など、基本的な対策)
- 二つ星(★★):「自社の情報セキュリティ基本方針」を定め、外部に公開した上で、継続的なセキュリティ対策を実践する。
私たちは今回、より高度な「二つ星」を取得しました。これは、単にツールを入れるだけでなく、「会社としてどのように情報を守るか」というルール(ポリシー)を定め、経営者が責任を持って運用することを社会に約束した証です。
なぜ、セイユーは取得したのか?「ドッグフーディング」の精神
私たちには、「お客様に提案するものは、まず自分たちで使い倒す(ドッグフーディング)」という信念があります。
- お客様に「セキュリティが大事です」と言いながら、自分たちの対策が曖昧では説得力がありません。
- セキュリティポリシーを作る難しさや、運用する手間を自分たちで経験して初めて、お客様にリアルなアドバイスができます。
だからこそ、私たちはまず自分たちから始めました。ポリシーの策定過程で、改めて自社の情報の流れを見直し、Google Workspaceの設定を再点検する良い機会にもなりました。
中小企業こそ、まずは「宣言」から始めませんか?
高価なセキュリティソフトを入れることだけが対策ではありません。「私たちは情報を大切に扱います」と宣言し、社内の意識を変えること。それが、コストをかけずにできる、最初にして最大の防御です。
「SECURITY ACTION、うちもやってみたいけど、ポリシーなんてどう作ればいいの?」もしそう思われたら、ぜひ私たちにご相談ください。私たちが実際に取得した経験をもとに、御社の実情に合わせた無理のないセキュリティ対策の第一歩を、お手伝いさせていただきます。
