「セキュリティ専門家による訪問指導4回」中小企業が考える適正価格 | ScanNetSecurity
2021.06.20(日)

「セキュリティ専門家による訪問指導4回」中小企業が考える適正価格

IPAは、経済産業省と取り組んでいる中小企業へのセキュリティ専門家の派遣について、2020年度の報告書を公開した。

製品・サービス・業界動向 業界動向
指導要領(指導ツール)の概要
指導要領(指導ツール)の概要 全 6 枚 拡大写真
 中小企業へのサイバーセキュリティ侵害のリスクが高まっている。特に日本は企業の9割以上を中小企業が占めており、その多くが大企業の関連企業や下請け企業となっている。こうしたサプライチェーンの構造がある中で、サイバー攻撃者はセキュリティ対策が堅牢になった大企業から、セキュリティ対策の甘い中小企業へと標的を移しつつある。

 サイバー攻撃により中小企業へ不正侵入し、そこを踏み台に大企業にアクセスしようというわけだ。その手法は、中小企業の社長や社員になりすまして大企業のシステムに侵入したり、メールでマルウェアを送りつけたりするものが多い。コロナ禍によりセキュリティ対策が不十分なままにテレワークに移行した中小企業も少なくなく、サイバー攻撃者の格好の標的となっている。

 一方で、直接的な被害はもたらさないものの、気付かれないように侵入して重要なファイルにアクセスできる高い権限を入手し、そのアクセス権限をアンダーグラウンドの市場で販売するサイバー攻撃車も増えており、企業規模に関係なくサイバー攻撃の標的になりうる状況だ。

 経済産業省と独立法人 情報処理推進機構(IPA)では、こうした状況を踏まえて全国の中小企業を対象に、地域で活躍する情報処理安全確保支援士(RISS:登録セキスペ)などのセキュリティ専門家を派遣している。これは、中小企業におけるセキュリティ専門家の活用の可能性、課題解決の検討を行うためのもので、2019年度から実施している。

 この取り組みは2020年度にも実施され、IPAはその結果を6月4日に「令和2年度中小企業の情報セキュリティマネジメント指導業務」報告書として発表した。今回は2020年9月4日から2021年2月15日までの期間、特に3大都市圏以外の36道県地域の中小企業の参加を促進しつつ、393社を対象に1社あたり4回派遣を行い、リスクの洗い出し、セキュリティ基本方針の策定、関連規定や手順書の策定までの指導業務を実施した。

 中小企業などへの指導業務には、IPAの中小企業向けセキュリティ対策支援ツールを活用した指導要領(指導ツール)を作成して実施した。このツールでは、指導業務の達成目標と成果物を定義し、マネジメント指導の具体的な進め方やコミュニケーションのポイント、前年度経験者の声、テレワーク推進の留意点など、指導ノウハウを盛り込んだという。

 IPAでは、指導の終了後に指導先企業にアンケートを依頼し、その結果を公開している。これによると、指導により「成果を得られた」と回答した企業は全体の97.6%で、前回の96.4%を上回った。また、全体の63.8%が継続指導・支援を希望した。4回の訪問指導の対価を聞くと、「12万円未満」が43.3%と最も多かったが、「12万円以上18万円未満」(37.5%)、「18万円以上」(19.2%)と、18万円以上とする回答が過半数となった。

 一方、指導を行ったセキュリティ専門家へのアンケートでは、全体の64.1%が有償での継続フォローを提案しており、回答のあった企業の15.7%から実際に依頼があったという。指導を行ったRISSに、中小企業を対象とした有償支援ビジネスの可能性について聞いたところ、37.3が「可能」と答えている。「難しい」と答えたのは45.2%であり、その理由には「登録セキスぺの知名度・有効性の認知度」や「中小企業のコスト面の負担に関する課題」が挙がった。

 報告書では成果として、「中小企業のセキュリティに係る取組意欲、セキュリティレベル、継続改善の意識が向上」「セキュリティマネジメント指導に係る指導要領(指導ツール)の有効性を確認」「身近な専門家による中小企業へのセキュリティ支援ニーズが改めて確認」を挙げている。

 一方で、中小企業の課題には「セキュリティ対策に係る人的リソース不足、コスト負担の余裕が無い」を挙げた。RISSの課題には、「コンサルティングに係るスキルアップ」「中小企業とのコネクション強化」「登録セキスペの知名度の向上と活躍の場の拡大」を挙げている。

《吉澤 亨史( Kouji Yoshizawa )》

この記事の写真

/
PageTop

特集

アクセスランキング

  1. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  2. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  3. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  6. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  7. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  8. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  9. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  10. Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

    Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

ランキングをもっと見る