独立行政法人情報処理推進機構(IPA)は7月31日、「中小企業向けサイバーセキュリティ対策支援者リスト」を発表した。
「中小企業向けサイバーセキュリティ対策支援者リスト」は、サイバーセキュリティ対策を推進する人材の国家資格「情報処理安全確保支援士(登録セキスペ)」の資格者のうち、中小企業向けのサイバーセキュリティ対策支援が実施できる専門家の得意分野・専門領域を可視化したリスト(支援対象地域別)。IPAでは、中小企業のサイバーセキュリティ対策の相談先として、同リストの活用を呼びかけている。
またIPAでは、中小企業の業種を問わない基本的なセキュリティ対策として、中小企業セキュリティ対策ガイドライン(付録を含む)を活用した5つのテーマを設定し、各テーマについて指導ツール(実施要領及びワークシート等)を整備しており、「中小企業向けサイバーセキュリティ対策支援者リスト」掲載のセキュリティ専門家は、下記の5つの指導テーマに基づくセキュリティマネジメント指導が対応可能となっている。
・テーマ1:情報セキュリティ規程の整備
従業員がITツールを使って業務を行っているが、情報セキュリティ規程が未整備なため、責任範囲が明確になっていない中小企業に必要。規程整備により、社内セキュリティ体制の継続的・自律的な改善が図れるようになる。
・テーマ2:情報資産の洗い出しとリスク分析
製造業やサービス業など、技術情報や顧客情報を大量に扱うが、どの情報が重要か、リスクがどこにあるかが把握できていない中小企業に必要。情報資産の洗い出しとリスク分析を行うことで、リスク低減策の検討にもなる。
・テーマ3:クラウドサービスの安全利用
業務効率化のためにクラウドサービスを導入しているが、セキュリティリスクに対する理解や対策が不十分な中小企業に必要。「クラウドサービス安全利用の手引き」を策定することで、クラウドサービス利用のリスクを明確化できる。
・テーマ4:セキュリティインシデント対応
サプライチェーンの参加企業として他社との連携が多く、セキュリティインシデントが発生した際の被害拡大のリスクがある中小企業に必要。手順整備に加え、従業員訓練も実施することで、インシデント発生時の対応体制が構築できる。
・テーマ5:従業員向け情報セキュリティ教育
ITリテラシーの差が大きい企業や、日常的なセキュリティ対策が徹底できていない企業に必要。セキュリティ教育プログラムを策定するとともに、実際に従業員へのセキュリティ教育を実施することで、社内の意識向上にもつなげられる。
なお、同リストは令和7年度事業で整備・拡充を予定している。
