B-15:取引先から「セキュリティチェックシート」が届いた —中小企業経営者のための正しい答え方と事前準備
「セキュリティチェックシート」の書き方
「うちみたいな中小企業が全部答えられるの?」と慌てる前に。正しい答え方と、事前に整えておくべき体制をお伝えします。
ある日、取引先の大手企業から一通のメールが届きました。「弊社では情報セキュリティ管理の強化に取り組んでおります。お取引先様にも、下記のチェックシートへのご回答をお願いしております」
添付ファイルを開くと、びっしりと並んだ質問項目。「アンチウイルスソフトの導入状況」「OSのアップデート管理」「情報セキュリティポリシーの策定有無」「インシデント発生時の対応手順」……。
「うちは中小企業なのに、こんなこと全部答えられるのか」「正直に書いて取引を切られたらどうしよう」。こういったご相談を、ここ数年で急に多くお受けするようになりました。このセキュリティチェックシート、実は答え方にコツがあります。そして、正しく向き合えば、自社のセキュリティを見直す良いきっかけにもなります。
セキュリティチェックシートとは何か、なぜ届くのか
大企業・官公庁が「取引先のセキュリティ」を確認し始めた背景
セキュリティチェックシートとは、発注元の企業や官公庁が、取引先のセキュリティ管理状況を把握するために送ってくる質問票です。背景には「サプライチェーン攻撃」の急増があります。大企業本体のセキュリティが強固になった結果、攻撃者はその仕入れ先や協力会社を踏み台にして情報を盗む手口に移行しています。
大企業を直接狙うのではなく、その仕入れ先・協力会社・下請け企業を経由して情報を盗む攻撃手法です。セキュリティが手薄になりがちな中小企業が「踏み台」にされるケースが急増しています。「うちはただの下請けだから」という認識が、最も危険です。
「うちには関係ない」では取引が続かない時代に
以前は大企業相手の取引だけの話でしたが、最近は中堅企業や自治体からも届くようになっています。また、新規取引の開始条件として提出を求めるケースも増えています。「面倒だから後回し」では取引継続を断られるリスクがあります。一方、正直に現状を伝えつつ誠実に対応すれば、それ自体が信頼につながることもあります。チェックシートは「審査」ではなく「対話」だと思っていただくと、少し気が楽になるかもしれません。
よく聞かれる項目と、中小企業が正直に答えるコツ
チェックシートの内容は発注元によって異なりますが、多くに共通している質問項目があります。代表的なものと、答え方のポイントをご紹介します。
アンチウイルス・OS更新・バックアップ。この3つが軸
「全端末に導入しているか」「定義ファイルは最新か」が問われます。導入済みであれば製品名と更新状況を記載。一部が未導入の場合は「主要端末に導入済み、残りは対応中」と書き、対応予定を添えましょう。
「定期的にアップデートを実施しているか」が問われます。自動更新を設定している場合はその旨を記載。「担当者が月次で確認している」など、運用ルールがあれば具体的に書くと印象が良くなります。
「定期的にバックアップを取得しているか」「バックアップデータは別の場所に保管されているか」が問われます。クラウドへの自動バックアップを設定している場合は、サービス名と頻度を記載してください。
「社内に情報セキュリティに関する規程・ルールがあるか」という質問です。立派な文書がなくても、「口頭・メールでの社内ルールとして運用している」と書ける場合はそのように記載してください。
「セキュリティ事故が起きたときの連絡体制・手順があるか」という質問です。「社長への即時報告+外部の専門業者への連絡」という流れがあれば、それを記載できます。
「対応中」「検討中」と書ける条件とは
チェックシートには「はい/いいえ」だけでなく、備考欄やコメント欄が設けられていることがほとんどです。「いいえ」にチェックを入れなければならない項目があっても、「現在対応を検討中」「○月までに整備予定」と書ける場合は積極的に活用してください。ポイントは「認識していて、動いている」ことを伝えることです。
絶対に嘘をついてはいけない理由
万が一、取引先経由でセキュリティ事故が発生した場合、チェックシートの回答内容が法的な証拠になります。虚偽の回答が発覚した場合、取引終了はもちろん、損害賠償を求められるリスクもあります。正直に「未対応」と書いて改善計画を示すほうが、長い目で見て必ず得策です。
チェックシートが来る前に整えておきたい最低限の体制
チェックシートが届いてから慌てるのではなく、日頃から最低限の体制を整えておくことが大切です。以下の4ステップを、できるところから始めてみてください。
会社で使っているパソコン・タブレットすべてに導入されているか確認します。端末の一覧を作っておくと、チェックシートへの回答もスムーズです。
Windowsであれば「Windows Update」の自動更新をオンにします。月に一度、更新状況を確認する担当者を決めておくとさらに安心です。
クラウドへの自動バックアップを設定しておきましょう。OneDriveやGoogleドライブの自動同期でも、ないよりははるかに安全です。バックアップの詳細についてはB-13もあわせてご参照ください。
「不審なメールは開かない」「パスワードは使い回さない」「困ったらすぐ報告する」。この程度でも構いません。A4一枚の社内ルールを作成しておくと、「情報セキュリティポリシーはありますか」という質問に「はい」と答えられるようになります。
それでも答えられない項目があったら
「サポート会社に確認中」は正当な回答になります
すべての項目を自社だけで把握・対応できる中小企業は、実際にはほとんどありません。IT管理を外部の専門業者に委託している場合は、「外部の専門業者(株式会社〇〇)に管理を委託しており、確認中」と記載することができます。これは正当な回答であり、むしろ「専門家に任せている」という点で評価されることもあります。
専門家に相談するタイミング
- 項目の意味がよくわからない
- 「いいえ」ばかりになってしまい、どこから手をつければいいかわからない
- 取引継続に関わる重要な案件で、提出期限が迫っている
- 回答後に「実際に整備も進めたい」と思っている
チェックシートへの回答支援から、実際のセキュリティ整備まで、まとめてご相談いただくことも可能です。
初めてセキュリティチェックシートを持ち込まれたお客様は、たいていこんな顔をされます。「うちなんかが答えられるわけない」「全部ダメだったらどうしよう」と。
でも実際に一緒に見ていくと、すでにできていることが意外と多い。ウイルス対策ソフトは入っている。クラウドを使っているからバックアップも実は取れている。社員に「変なメールは開くな」と口頭で伝えている。これも立派なルールです。
大切なのは「完璧かどうか」ではなく、「把握して、改善しようとしているかどうか」です。現状を正直に書いて、できていないことには改善の意思を添える。それだけで、多くのチェックシートは誠実に答えられます。
この記事のまとめ
- セキュリティチェックシートは「審査」ではなく「対話」。現状を正直に伝えることが大切
- よく聞かれる項目は、①ウイルス対策②OS更新③バックアップ④社内ルール⑤インシデント対応の5つ
- 「対応中」「検討中」と書ける備考欄を積極的に活用する
- 嘘の回答は、事故発生時に法的リスクになる。正直な回答が最善
- 日頃からステップ①〜④を整えておけば、届いても慌てずに済む
- 一人で対応が難しい場合は、外部の専門業者への相談が正当な選択肢
