中小企業を強力に後押し IPA提供のサイバーセキュリティ対策ツール・制度とは？：「Security Week 2022 冬」開催レポート（2/2 ページ）

[宮田健，ITmedia]

中小企業が取るべきセキュリティ対策5箇条

　ではこうした厳しい現状に対してどのようなセキュリティ対策を講じるべきか。横山氏は、まずは基本的な考え方として「組織が持つ情報資産を把握し、何を守るかを定義すること」を推奨する。

　「さまざまな業務情報がデジタル化されている。これまでの“紙”であればファイリングし鍵を閉めるだけでよかったが、デジタル化が進む今、守り方もデジタル化しなくてはならない。デジタル化された情報の“機密性”“完全性”“可用性”を確保するためにはどうすべきかを考えてほしい」（横山氏）

　横山氏はその第一歩として「基本的なセキュリティ対策から始め、組織の実態に合わせ段階的に進める」ことを推奨する。その根底には、サイバー空間では多数のサイバー脅威があるが攻撃の糸口は似通っており、基本的な対策をするだけでもセキュリティ強度が大きく向上するという考え方がある。

　「よくある攻撃の糸口」としてはソフトウェアの脆弱性、ウイルス感染、パスワード窃取、設定不備、誘導の5つが挙がる。それぞれの対策はまさに「情報セキュリティ対策の基本」である下記の5つにつながる。

• ソフトウェアの更新
• セキュリティソフトの利用
• パスワードの管理、認証の強化
• 設定の見直し
• 脅威、手口を知る

情報セキュリティ対策の基本（出典：横山氏の講演資料）

IPAが提供するセキュリティ支援を有効に活用せよ

　IPAは中小企業のセキュリティ対策を支援するさまざまなツールや制度を提供している。制度は事前の備えからインシデントが発生してしまった後の対応や復旧支援までを提供する幅広いものだ。

IPAが提供する“対策”（出典：横山氏の講演資料）

　まずは平時の対策支援を紹介する。IPAは中小企業に向けて「中小企業の情報セキュリティ対策ガイドライン」を公開している。

　これはセキュリティ対策に取り組む際の「経営者が認識し実施すべき指針」や「社内において対策を実践する際の手順や手法」をまとめたものだ。第3版は2021年3月に公開されており、経営者が認識すべき「3原則」と経営者がやらなければならない「重要7項目の取り組み」が記載されている。付録にはセキュリティにおける基本方針やセキュリティ関連規定のサンプルがあり、これらを利用することで最初のステップを大きく進められる。

（左）「中小企業の情報セキュリティ対策ガイドライン」（右）すぐに使える形でさまざまなツールを提供している（出典：横山氏の講演資料）

　制度としては、「SECURITY ACTION」も中小企業には有用だ。これはセキュリティ対策ガイドラインの実践をベースに、中小企業が自らセキュリティ対策に取り組んでいることを自己宣言する制度で、取り組みを見える化することで名刺やWebサイトにロゴマークを掲出でき、顧客や取引先へのアピールとなる他、これを基にした公的補助も用意されている。

（左）「SECURITY ACTION」制度のメリット（右）「SECURITY ACTION」制度が利用できる補助金制度が多数用意されている（出典：横山氏の講演資料）

　その他、IPAはインシデント対応に備えた「サイバーセキュリティお助け隊サービス」制度を展開している。これは中小企業がサイバー攻撃への対処として不可欠な機能をワンパッケージのサービスとしてIPAが要件定義し、それを満たす民間のサービスを「サイバーセキュリティお助け隊サービス」として登録、公表するものだ。

　要件としては「相談窓口の設置／案内すること」や「24時間監視する仕組み」などに加え、費用についてもネットワーク監視型ならば月額1万円以下、端末監視型であれば1台につき月額2000円以下とするなど、中小企業が利用しやすいサービスを定めている。

（左）「サイバーセキュリティお助け隊サービス」の要件（右）「サイバーセキュリティお助け隊サービス」はIT導入補助金の利用が可能。公募申請受付期間は2023年2月16日で締め切られている。来年度については経済産業省で検討中（出典：横山氏の講演資料）

　この他、IPAは「5分でできる！ポイント学習」や「映像で知る情報セキュリティ」など、中小企業がセキュリティ研修で活用できるコンテンツも提供している。横山氏は最後に「デジタル活用で生産性の向上や企業力の強化に努めつつ、セキュリティ対策も併せて講じることで、これまで培ってきた信頼や利益を守ってほしい」と語った。

IPAは相談窓口も提供している（出典：横山氏の講演資料）