「セキュリティチェックシート形骸化」問題 解消のカギとなる「セキュリティ対策評価制度」：なんちゃってセキュリティは今後通用しない

サプライチェーン攻撃が増加する昨今、組織のセキュリティ対策状況を把握するため取引先からセキュリティチェックシートへの回答を求められるケースがある。しかし、何をもってセキュリティ対策ができているとするかの基準は曖昧であり、運用が形骸化することも多い。実効性を持った対策を講じるすべはあるのだろうか。

PR／ITmedia

PR

　企業におけるサイバー攻撃の被害は年々拡大している。ひとたびランサムウェアなどによって業務停止や機密情報の流出、取引先への二次被害といったインシデントが発生すれば、復旧に多大な時間と費用を要する。警察庁公表の「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によれば、ランサムウェア被害からの復旧に1週間以上要したケースは全体の76％、調査・復旧にかかった費用が500万円以上にも上ったケースは58％の割合となっている。

警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」を参考とした、ランサムウェア被害からの復旧にかかる期間と調査・復旧費用（出典：エムオーテックス提供資料）

　こうした現状にもかかわらず、セキュリティ対策はいまだに「形式的な作業」や「コスト」として捉えられがちで、事業ひいては経営にインパクトする事柄であるということを正しく理解されていない側面がある。なぜ企業は実効性のあるセキュリティ対策に踏み出せないのか。どのようにすれば効果的なセキュリティ体制を構築できるのだろうか。

「認識」と「実態」のギャップが生むセキュリティリスク

　エムオーテックスで、インシデント発生後の調査（フォレンジック）や復旧支援を担当する西井 晃氏（サイバーセキュリティ本部　セキュリティサービス部　エキスパート）は、次のように語る。

エムオーテックスの西井 晃氏

　「セキュリティインシデントが発生する企業には2つの傾向があります。一つはセキュリティ対策の『認識』と『実態』にギャップがあること、もう一つは時代に即したセキュリティ対策を実施できていないことです」

　1つ目の「認識と実態のギャップ」の代表的な例が、基本的なセキュリティ対策の形骸化だ。セキュリティ担当者や経営層は、パッチの適用やアクセス制御、適切なパスワード設定などの運用を「実施できている」と認識している。しかし現場を見ると、脆弱（ぜいじゃく）性対応が行われていないシステムや端末が放置されていたり、推測可能なパスワードが使いまわされたりしていることが多い。

　こうした基本的な対策の不備が発端となって被害に発展するケースが後を絶たない。特に中小企業では、「ウチには重要な情報はないので狙われないだろう」という危うい認識も多く見られ、必要な対策を講じず、組織内で検討の土俵にすら上がっていないことも多い。

　そして、2つ目の「セキュリティ対策が時代に即していない」とは、攻撃手法が進化してさまざまな脅威が出現しているにもかかわらず、組織内でセキュリティ対策やセキュリティポリシーの定期的な見直しが行われていないことを指す。

　「例えば、働き方改革やコロナ禍の影響で、在宅勤務をはじめとしたテレワーク／ハイブリッドワークを実施された企業も多いかと思います。そうした場合に組織に生じるセキュリティリスクについて、事前に検討すらできておらず、実際にサイバー攻撃による被害に遭ってはじめて認識するというケースも少なくありません」と西井氏は語る。企業は、業務環境が変わればセキュリティ対策についても再考しなくてはならないということを考慮に入れる必要がある。

　また、西井氏は「大企業においても『セキュリティ対策＝コスト』とみなし、対策を単なる作業として捉えている経営層が多いと感じます。なぜ対策が必要なのかという本質的な理解が不足しているのが実態です」と指摘する。

　これら2つの問題の背景には、セキュリティ担当者の孤立という課題もある。エムオーテックスの山岸恒之氏（営業本部　営業企画部　部長）は次のように語る。

エムオーテックスの山岸恒之氏

　「中堅・中小企業では、1人のIT担当者がセキュリティ対策まで手掛けていることが多いのです。そのため、自ら講じた対策の有効性を客観的に評価する手段がありません。セキュリティ対策の重要性を経営層に伝えるためのエビデンスや、それに基づくコミュニケーションが不足することとなり、予算を獲得できないというジレンマに陥りがちです」

形骸化した対策から脱却しなければビジネス機会を失う

　上述の状況に加えて、サプライチェーンを狙うサイバー攻撃が増加している今、自社や取引先を含めたセキュリティ対策の現在地を可視化し、必要に応じて是正措置を取ることが重要となる。そのために役立つのが「セキュリティチェックシート」だ。一方でセキュリティチェックシートによる対策可視化は課題があるため、経済産業省は新制度の構築の検討を進めている。

　エムオーテックスが実施したアンケートによれば^※1、約6割の企業が取引先からセキュリティチェックシートの提出を求められており、そのうち4割以上は提出先が5社以上あったという。しかし、山岸氏はセキュリティチェックシートが抱える課題を次のように話す。

※1：エムオーテックスが2025年1月に開催したオンラインセミナーで参加企業を対象に行ったアンケートの結果（有効回答数135件）

　「ある業界団体が配布しているセキュリティチェックシートの場合、チェック項目が153もあり、セキュリティの専門家ではない担当者が全てを回答するのは大きな負担です。また、複数の取引先からチェックシートを受け取ると、それぞれが要求する内容やチェック項目の粒度が異なっていることも多く、1つ1つのチェックシートに都度回答しなければならないことも企業の担当者の負担となっています。その結果、チェックシートへの回答が不正確になってしまうという状況です」

　この「チェックシートへの回答が不正確になってしまう」という点についても、同社のアンケート調査により実態が明らかとなっている^※2。「自社の情報資産の把握」という内容を例に、まず「自社で対策ができていると思うか」と聞くと、51％が「できている」と回答した。しかし、その「できている」と回答した者に対して、セキュリティの専門的な知見から「自社の情報資産の把握」が「できている」と判断し得る達成基準^※3を提示し、「この達成基準に照らして、本当に対策ができていると言えるか」を再度質問すると、71％が「できていない／わからない」の回答に変わってしまっていた。まさに、一見「できている」ようでも、実は実効性が伴っていないセキュリティ対策が数多く行われているという実態を明らかにしている。

※2：エムオーテックスが2025年1月に開催したオンラインセミナーで参加企業を対象に行ったアンケートの結果（有効回答数233件）

※3：達成基準は、経済産業省「サイバー・フィジカル・セキュリティ対策フレームワーク」や、IPA（情報処理推進機構）「中小企業の情報セキュリティ対策ガイドライン」および「情報セキュリティ対策ベンチマーク」などをもとにエムオーテックスが作成

エムオーテックスが2025年1月に開催したオンラインセミナーで参加企業に対して実施したアンケート結果（出典：エムオーテックス提供資料）

　このように形骸化しがちな企業のセキュリティ対策を改善し、国を挙げてサプライチェーンのセキュリティリスクに対応していくため、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」（以下、セキュリティ対策評価制度）として、対策レベルが適正かどうかを格付けする制度の導入を検討している。企業のセキュリティ対策レベルを客観的に評価して3つ星から5つ星の3段階で格付け（1つ星と2つ星は自己宣言）するもので、2025年4月に中間とりまとめが公表され、2026年度中に詳細が公表される予定だ。

　山岸氏は「セキュリティ対策評価制度の開始後、3つ星や4つ星以上が取引や補助金支給の必須条件になる可能性があります。そうなれば格付け取得を目指す企業が増えるでしょう。今から準備を始めて他社に先駆けて格付けを取得すれば、セキュリティ対策の充実ぶりをアピールすることでビジネスチャンスにつながるはずです」と述べる。

　IPA（情報処理推進機構）が公開した「2024年度中小企業における情報セキュリティ対策の実態調査報告書」でも「情報セキュリティ対策を行ったことが取引先との取引につながった大きな要因」と答えた企業が4割以上を占めるようになった。これらのことからも、「セキュリティ対策＝コスト」という考え方から脱却することがビジネス拡大のための重要な要素になっていることが分かる。

　裏を返せば、いち早く実効性のあるセキュリティ対策を始めなければ、後々大きな損失につながる可能性があるということだ。

専門家の知見とセルフラーニングを融合　実効性のある対策を

　実効性のあるセキュリティ対策検討の第一歩は、まずは「現状の把握」である。自社のセキュリティ状況を可視化し、運用・改善の自走を支援すべく、エムオーテックスではコンサルティングパッケージ「ガイドライン対応サポートアカデミー」（以下、サポートアカデミー）を提供している。自動車産業の企業向けに「自工会／部工会・サイバーセキュリティガイドライン」への対応に特化したサービスとしてスタートし、2025年1月からは、業界を問わず全ての企業・団体を対象とする「サイバーセキュリティ対策」メニューを新設した。

　サポートアカデミーでは、経済産業省の「サイバー・フィジカル・セキュリティ対策フレームワーク」やIPAの「中小企業の情報セキュリティ対策ガイドライン」および「情報セキュリティ対策ベンチマーク」などをベースに、エムオーテックスが独自に作成した対策状況チェックシートを提供している。そして、ポータルサイトではセキュリティ解説講座や各種セキュリティ対策関連規程のひな型を提供するとともに、同社のセキュリティコンサルタントがチェックシート添削や個別相談（Web会議／メール）に対応可能だ。

　サポートアカデミーはユーザー企業が主体的に知識を習得し、セキュリティ対策ができることが特徴だ。充実した学習コンテンツを備えたポータルサイトと国家資格を取得したセキュリティコンサルタントによる専門的なアドバイスを組み合わせることで、企業が自律的かつ継続的にセキュリティ対策を向上させられるように支援する。

　独自のチェックシートは、幅広い業界や産業におけるセキュリティ対策の基準やガイドラインを網羅しており、これらに対応すれば取引先からの基本的な要求に応えられるつくりとなっている。各質問項目に対して「どの程度実施していれば達成と言えるか」という具体的な基準が示されているため、曖昧（あいまい）な回答基準に悩まされることなく、客観的に自社の状況を評価できる。

エムオーテックスが独自作成したチェックシートのイメージ（出典：エムオーテックス提供資料）

　ポータルサイトはセキュリティ対策に役立つ豊富なコンテンツを提供する。企業の担当者向けに、同シートの達成に必要な知識の習得を目的とした解説動画だけでなく、組織全体のセキュリティ意識向上を目的とする、経営層や従業員向けの教育コンテンツも用意されている。経営層向けには経営層に求められる役割と責任を、従業員向けには日常業務で実践すべき行動をまとめており、情報セキュリティ研修の資料としても有用だ。

　各種規程類のひな型も充実している。組織対策規程や人的対策規程、情報資産保護規程、物理環境保護規程、端末管理規程など、自社のセキュリティ体制を構築する上で必要な書類のひな型を編集可能なWord形式などでダウンロードできる。これを基にして自社情報に書き換えることで、組織に必要な規程を簡単かつ早急に整えることが可能だ。

　西井氏は、「規程のひな型は、インターネット上に公開されているものを誰でも参考にできますが、使い方が分からなければ意味がありません。サポートアカデミーではひな型の使い方も詳しく解説しています。例えば『情報セキュリティに対する基本方針を策定してるか』というチェックシートの項目に対して、具体的にどのような内容を方針に盛り込めばよいのかを明確にしています」と語る。

　加えて、山岸氏は「通常セキュリティコンサルティングを受けるとなると数百万円から数千万円の費用がかかりますが、サポートアカデミーはそれらと比較して圧倒的に安価です。また、一般的なコンサル契約は数カ月のスポット契約になりがちですが、サポートアカデミーは1年ごとの契約です。基本パッケージ（9カ月45万円（税別））の期間終了後も、月額換算1万円の更新契約でコンサルタントのサポートを受け続けられます」と、サービスのコストパフォーマンスを強調した。（詳細は記事末のサービスページ参照）

　セキュリティ対策は一度実施して終わりではなく、常に新たな脅威に対応し続ける必要がある。専門家による継続的なバックアップがあることで、長期的なセキュリティレベルの維持や向上のためのPDCAサイクルを回すことが可能になる。

規模や業種を問わず幅広い顧客から高い評価

　サポートアカデミーは、従業員20人規模の中小企業から1000人を超える大企業まで幅広い企業に導入されている。低価格であることに加え、エムオーテックスが開発・提供する自社製品の対応範囲に限定されない網羅的なサポート内容が導入の決め手だ。導入企業からは「チェックシートを通じたコンサルティングを受けたことで、自社のセキュリティ対策の精度が高まった」「求められるセキュリティ対策が理解できたので自信をもって対策が実施できる」「ひな型の使い方まで教えてもらえたので目的を達成できた」といった声が寄せられている。

　セキュリティ担当者にとって悩みの種である、経営層とのコミュニケーションにおいて有効な解決策となることも選ばれる理由の一つだ。

　「サポートアカデミーでは、経営層向けの教育コンテンツも用意しています。最新のセキュリティインシデント事例とその対策ポイントを分かりやすくまとめた情報配信サービスも好評です。セキュリティ担当者の方には、これらの情報を糸口に経営層とのコミュニケーションを強化していただけます」（西井氏）

　形骸化したセキュリティ対策から脱却して効果的な体制構築を目指す企業にとって、サポートアカデミーは有力な選択肢となるはずだ。詳細はこちらで確認してほしい。

経産省「セキュリティ対策評価制度」とは？
セキュリティチェックシートが届く理由とは？
いま取引先の期待にどう応えるべきなのか　〜最新情報と素早い対応で未来の取引を作る〜

---

　経済産業省は、サイバーセキュリティ対策の実施状況を5段階で格付けするセキュリティ対策評価制度を新設する方針を発表し、2025年4月には「中間とりまとめ」を公表しています。中間とりまとめでは、具体的なスケジュールの他、星3〜4の獲得のために必要なセキュリティ対策の具体的な内容や、制度の普及のために検討される支援内容など多くの新たな情報が公表されています。

　そこでエムオーテックスでは、公開情報から分かった最新情報と、今すぐにできる対策をお伝えするセミナーを開催します。いち早く格付け獲得の準備を進めておくことでライバル企業に先行して格付けの星を獲得し、ビジネスで有利に活用することができます。

　本セミナーでは、制度の最新情報に加えて、今から準備を進めるために活用がおすすめなコンサルティングパッケージ「ガイドライン対応サポートアカデミー」もご紹介します。

イベントのご登録はこちらから