記事内容
現代社会のサイバーセキュリティ対策は、一企業内の対策だけでは不十分でありサプライチェーン全体の対策強化が必要になっています。対策が不足した企業が踏み台にされてサプライチェーン全体がサイバーセキュリティ被害を受けるリスクに晒されます。
こうした時代背景から、中小企業のサイバーセキュリティ対策の重要度は増しており、幅広い中小企業において無理なくサイバーセキュリティ対策を導入・運用することを支援するサービスが望まれ、「サイバーセキュリティお助け隊サービス」が制度化されました。
「サイバーセキュリティお助け隊サービス」制度に関連する情報を、独立行政法人情報処理推進機構(IPA)に登録したセキュリティプレゼンター[1]の立場からご紹介します。
「サイバーセキュリティお助け隊サービス」とは
中小企業のサイバーセキュリティ対策を支援する為の相談窓口、異常の監視、事案発生時の初動対応(駆付け支援等)及び、簡易サイバー保険を含む各種サービスを、安価かつ効果的なワンパッケージで、確実に提供するものです。
「サイバーセキュリティお助け隊サービス」
https://www.ipa.go.jp/security/otasuketai-pr/
(2023/7/25 引用)
制度化の経緯は、経済産業省とIPAが主導して、2019年度から2年に渡り実施された実証事業「サイバーセキュリティお助け隊」が発端となり、「サイバーセキュリティお助け隊サービス基準」が2021年2月に策定・公表(2023年4月に改定)されました。中小企業のサイバーセキュリティ対策支援サービスに不可欠な各種サービス内容が、要件としてまとめられて可視化されました。
「サイバーセキュリティお助け隊サービス」は、次に掲げる全ての要件を満たすものでなければならないとサービス基準に定められています。
- 相談窓口
- 異常の監視の仕組み
- 緊急時の対応支援
- 中小企業でも導入・運用できる簡単さ
- 簡易サイバー保険
- 上記機能のワンパッケージ提供
- 中小企業でも導入・維持できる価格等
- 中小企業向けセキュリティサービス提供実績
- 情報共有
- 事業継続性
- サービス基準の遵守
民間事業者から提供される中小企業向けサイバーセキュリティ対策支援サービス事業が、これらの基準を満たすと判定されれば、IPAがブランド管理を行う「サイバーセキュリティお助け隊マーク」を付与することが認められます。よって中小企業がサービス事業を選定する際には、マークを見れば基準を満たしていることが一目で分かるので安心して利用することができます。
サービス審査登録機関により、サービス基準を満たすことが確認された「サイバーセキュリティお助け隊サービス」の具体的なリストとサービス内容は、先に引用したポータルサイトで確認することができます。
中小企業が最初に取り組むべきセキュリティ施策
「サイバーセキュリティお助け隊サービス」制度により、複数の民間事業者から中小企業向けサイバーセキュリティ対策支援サービス事業が提供される環境が整いました。外部サービスを利用する選択肢が増えたことは良い点ですが、セキュリティ施策としては自助努力も欠かせません。
IPAでは、中小企業が最初に取り組むべき情報セキュリティ5か条を提案しています。
「情報セキュリティ5か条」
https://www.ipa.go.jp/security/sme/f55m8k0000001wb3-att/000055516.pdf
(2024/7/31 引用)
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
いずれも既に取り組まれていることでしょう。こうした身近な対策を疎かにしないことが大切です。また、5の脅威や攻撃の手口を知ることについて、IPAからは「情報セキュリティ10大脅威」や「情報セキュリティ白書」が提供されています。
「情報セキュリティ10大脅威2024」
https://www.ipa.go.jp/security/10threats/10threats2024.html
(2024/1/26 引用)
「情報セキュリティ白書2024」
https://www.ipa.go.jp/publish/wp-security/2024.html
(2024/7/31 引用)
他にもサイバーセキュリティ注意喚起サービスとして「icat for JSON」が提供されています。当サイトにおいても、公開済のコラムでご紹介しました。
標的型攻撃の脅威
「標的型攻撃」をご存知でしょうか。業務関連のメールを装ったウイルス付きメール(標的型攻撃メール)を、組織の担当者に送付する等して機密情報を盗み取ろうとする手口です。
「情報セキュリティ10大脅威2024」の組織編では「標的型攻撃による機密情報の窃取」として4位にランクインしています。
標的型攻撃は、狙われた組織向けに巧妙に作り込まれている為、完璧な防御対策を立てることが難しいとされています。実在する取引先の担当者を装ったメールを受信した際には、不審に思わずに添付ファイルを開いてしまうこともあるでしょう。そしてウイルス感染から情報漏洩へと繋がってしまうのです。
こうした標的型攻撃は、長期的に入念な調査(情報監視等)がされた上で実行されます。そう聞くと「中小企業や小規模事業者を相手にわざわざ手間をかけて攻撃して来ないだろう」と考える経営者の方もおられるかもしれません。
しかし、真のターゲットに標的型攻撃を行う為の業務上の機密情報を得ようと、まずはサプライチェーンの中で対策が弱い箇所が狙われるので、例え小規模事業者であっても標的型攻撃のターゲットになってしまうのです。
標的型攻撃の被害を最小限に抑える為には、攻撃の侵入を防ぐ為の対策、侵入された場合にすばやく検知する為の対策、検知した場合にすばやく対処する為の対策を取ることが必要になります。
サイバーセキュリティお助け隊サービスの活用
標的型攻撃を例として挙げましたが一例に過ぎません。さまざまなサイバー攻撃への対処が必要になるでしょう。侵入防御や検知、サイバー攻撃に遭った際の事後対応策等、自助努力だけで対処可能でしょうか。
繰り返しになりますが「サイバーセキュリティお助け隊サービス」は、相談窓口、異常の監視、駆付け支援、簡易サイバー保険を含む各種サービスをワンパッケージで安価に提供するものです。
「サイバーセキュリティお助け隊サービス」の基準を満たすサイバーセキュリティ対策支援サービスを選定して利用することにより、費用面も含めて無理なくサイバーセキュリティ対策を導入・運用することが可能となるでしょう。
補足としまして、IT導入補助金の「セキュリティ対策推進枠」を利用すれば、「サイバーセキュリティお助け隊サービス」のサービス利用料(最大2年分)が補助の対象となります。
この記事のまとめ
- サイバーセキュリティお助け隊サービスが制度化された
- サイバー攻撃は企業規模によらず対策不足の企業が狙われる
- 中小企業向けサイバーセキュリティ対策支援サービスが利用し易くなった