セキュリティ情報の収集と、組織内周知の仕方・例

更新日：10月24日

～「情報セキュリティハンドブック（ひな形）」を参考に～

投稿：舩生好幸（ISACA認定CISA、IPA登録セキュリティプレゼンター）2024.9.25

（更新：2025.10.24）

今回は、IPA公開「情報セキュリティハンドブック（ひな形）」を参考に、セキュリティ情報の収集と、企業など組織内への周知の方法をご紹介します。

「情報セキュリティハンドブック（ひな形）」は、IPA（独立行政法人情報処理推進機構）が一般公開する「中小企業の情報セキュリティ対策ガイドライン第3.1版」の付録ツールの一つです。

（IPAの該当ページへのリンク）

中小の事業者様に必要となる情報セキュリティ対策を社内・職場内に周知・浸透させるため、情報セキュリティハンドブック中には各種ルールの「ひな形」が収録されています。

利用する際は、ハンドブック中の記述を自組織に適するよう加除修正などカスタマイズし、事業者様オリジナルの「制定版」に仕上げます。

その「制定版」ハンドブックを職場内に印刷して配布したり、従業員やスタッフの方がいつでも参照できるよう、社内のイントラネット上で電子ファイルを公開する、などして、ルールを周知し、理解と順守を促します。

〇「セキュリティに対する注意」に基づく情報収集と職場内への周知の手順

このハンドブックひな形のP.2「セキュリティに対する注意」の記述は、公的なセキュリティ専門機関のウェブサイトからの積極的な情報収集と職場内への周知の手順です。

以下の引用中、赤字部分（組織名、実施時期、行動の詳細など）は利用に先立ってカスタマイズする箇所です。

－（引用ここから）－－－－－－－－－－－－－

●総務部システム担当は毎週月曜日に以下のサイトを参照し、当社で利用するIT製品やサービスに関わる重要なセキュリティ情報、緊急情報などが公表された時には、速やかに社長に

報告し、電子メールで対策を全従業員に通知する。

●通知を受けた従業員は速やかに対策を実行する。

👉 独立行政法人情報処理推進機構（略称：IPA）　重要なセキュリティ情報

👉 JVN （Japan Vulnerability Notes　脆弱性対策情報ポータルサイト）

👉 一般社団法人 JPCERT コーディネーションセンター

（略称：JPCERT/CC　技術的な立場における日本の窓口CSIRT）

－（引用ここまで）－－－－－－－－－－－－－

11行ほどの短いルールですが、情報収集の方法と、続く職場内周知の方法が要領よく記述されていることがわかると思います。

上記の記述では参照対象とするサイトのURLは3件が記載されていますが、状況に応じて追加・変更するのもよろしいと思います。

また、ルールを運用してみて、無理や合理的でない要素などが見つかれば、適宜修正を加えるようにします。

〇自組織の制約事項等も考慮して、無理なく効率的にご利用を

ちなみに、「情報セキュリティハンドブック（ひな形）」はA4版17ページで、記載されるルールは合計で30項目超と多岐にわたります。

ルールを一度にすべて導入しようとすると、現場の理解が追い付かないなど、事業者様によっては厳しい場合もあるかもしれません。

ハンドブックの使い方、カスタマイズの仕方は自由です。

まずは上記「セキュリティに対する注意」など、特に重要と思われる数項目に絞って導入することも可能です。

後日状況を見て、ほかのルールを追加していくのも現場に受け入れられやすい方法です。

自組織の制約事項や情報セキュリティ対策の理解度等も考慮して、無理なくご利用いただくのがよい、と思います。

（Primary-f／向実庵　代表）

※以上、IPAが公開する「情報セキュリティハンドブック（ひな形）」Ver.1.5よりご紹介しました。

「情報セキュリティハンドブック（ひな形）」は、IPAの「中小企業の情報セキュリティ対策ガイドライン」のページに「付録４」として登録されており、誰でもダウンロードが可能です。

＜ご案内＞

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びＩＰＡが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

最新記事