皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、2年数ヵ月ぶりに大幅改訂された『中小企業の情報セキュリティ対策ガイドライン（第3版）』がIPA（独立行政法人情報処理推進機構）から公開されましたので、それをお伝えします。

中小企業の情報セキュリティ対策ガイドライン第3版

＜概要＞

「中小企業の情報セキュリティ対策ガイドライン」（以下「本ガイドライン」）は、情報セキュリティ対策に取り組む際の、(1)経営者が認識し実施すべき指針、（2）社内において対策を実践する際の手順や手法をまとめたものです。経営者編と実践編から構成されており、個人事業主、小規模事業者をも含む中小企業（以下「中小企業等」）の利用を想定しています。
　第3版は第2版（2016年11月公開）から2年4か月ぶりの大幅改訂で、「サイバーセキュリティ経営ガイドライン」の改訂や、中小企業等を対象としたクラウドサービスの充実化などの環境変化を受けたものです。改訂のポイントは、専門用語の使用を可能な限り避け、ITに詳しくない中小企業等の経営者にとって理解しやすい表現としたことです。
　例えば実践編において、対策に取り組めていない中小企業等が組織的な対策の実施体制を段階的に進めていけるよう構成の見直しを行ったことです。また、クラウドサービスを安全に利用するための留意事項やチェック項目を記し、付録として新たに「中小企業のためのクラウドサービス安全利用の手引き」を追加しました。
　中小企業等ではITの利活用が進む一方で、サイバー攻撃手法の巧妙化、悪質化などにより事業に悪影響を及ぼすリスクはますます高まってきています。 また、サプライチェーンを構成する中小企業においては発注元企業への標的型攻撃の足掛かりとされる懸念も指摘されており、早急な対策実施が必須であると言えます。
　本ガイドラインおよび「SECURITY ACTION」制度の活用によって、ITを利活用している中小企業が情報セキュリティ対策に取り組み、経済社会全体のサイバーリスク低減につながることを期待しています。

このように、昨今の『サイバー攻撃の巧妙化』や『中小企業などにおけるIT環境の変化』などを受け、『経営者が認識し実施すべき指針』、『社内において対策を実施する際の手順や手法』などがわかりやすくまとめられています。

改めて確認し直す良い機会でもありますので、是非読んでみて下さい。

『中小企業の情報セキュリティ対策ガイドライン第3版（全62ページ、7.00MB） /PDF』

・付録1：『情報セキュリティ5か条（全2ページ、726KB） /PDF』

・付録2：『情報セキュリティ基本方針（サンプル）（全1ページ、34KB） /Word』

・付録3：『5分でできる！情報セキュリティ自社診断（全8ページ、3.9MB） /PDF』

・付録4：『情報セキュリティハンドブック（ひな型）（全10ページ、212KB） /PowerPoint』

・付録5：『情報セキュリティ関連規程（サンプル）（全50ページ、171KB） /Word』

・付録6：『クラウドサービス安全利用の手引き（全8ページ、2.8MB） /PDF』

・付録7：『リスク分析シート（全5シート、92KB） /Excel』

皆さん、こんにちは。

業務コンサルタントの高橋です。

皆さんの職場では、IT担当者への資格取得を積極的に推進していますか？それとも、とことん現場で実践経験を積ませていますか？もし前者だとするならば、その人材は社内で役に立っていますか？

有資格者であるだけでは役に立たない

専門知識のない人から見れば資格は目安の一つとなります。しかし、それが現場で生かされるかというとそれは別問題です。これはIT系資格に限った話しではありませんが、資格は基礎的な理論としては役だったとしても実践現場では役立たないことの方が多いです。そこから考えると、ただ有資格者になってもらうだけでは全くもって意味がありません。過去に私が目の当りにした事例では、あるネットワークに関する資格試験を受験して合格した人と、ひたすら実践で学んでいる人と比べた場合、はるかに実践で学んでいる人の方が会社的に役立つ存在でした。それは何故でしょうか？

簡単なネットワーク構築もできなかった人

前述したネットワークに関する資格試験に合格した人が現場でネットワーク構築を指示されたところ、非常にシンプルなネットワーク構築であったにも関わらず構築することができませんでした。これは、文字やイラストを見ながら仕組み的な理屈は頭に入っていても、一番重要な実践的な部分が全く欠如していることにあります。ここから言えるのは、結局のところはより多くの実践経験を積ませるしかないということです。

他の目的があるのであれば資格も有り

仕事上、会社自体がIT系企業であるならばIT系資格を取得させるのも良いでしょう。これは、相対する顧客へのアピールであったり、顧客の安心感にもつながる可能性があるからです。顧客からすると、名刺に書かれた『○○スペシャリスト』という文字がちょっとした安心感につながったりするケースもあります。しかし、相手がITに詳しい担当者であった場合には化けの皮がはがれるのも時間の問題です。

また、会社として資格手当を支給してあげたいという考えがあるのであれば資格取得をさせるのも良いでしょう。

まとめ

これらから言えるのは、資格取得が決して悪いことであるわけではありませんが、まずはより多くの実践経験を積ませ、その後に資格取得をさせることによって給料を増やしてあげることが良いのではないでしょうか。もちろん、IT担当者である本人が実践で学び、時間外に資格試験の勉強を自主的に行っているのであれば理想的であるかもしれません。

追伸：あなたが顧客の立場になるとするならば、『○○スペシャリスト』などと書かれた肩書きだけに惑わされずに判断されることが賢明かと思います。