中小企業を強力に後押し IPA提供のサイバーセキュリティ対策ツール・制度とは?:「Security Week 2022 冬」開催レポート(2/2 ページ)
昨今のサプライチェーン攻撃の流行によって、中小企業にとってランサムウェアなどへのサイバーセキュリティ対策が急務になっている。だが予算やリソースの兼ね合いから対処が困難な中小企業も多いはずだ。こうした企業を支援するためにIPAがさまざまな資料や制度を提供しているのを知っているだろうか。
中小企業が取るべきセキュリティ対策5箇条
ではこうした厳しい現状に対してどのようなセキュリティ対策を講じるべきか。横山氏は、まずは基本的な考え方として「組織が持つ情報資産を把握し、何を守るかを定義すること」を推奨する。
「さまざまな業務情報がデジタル化されている。これまでの“紙”であればファイリングし鍵を閉めるだけでよかったが、デジタル化が進む今、守り方もデジタル化しなくてはならない。デジタル化された情報の“機密性”“完全性”“可用性”を確保するためにはどうすべきかを考えてほしい」(横山氏)
横山氏はその第一歩として「基本的なセキュリティ対策から始め、組織の実態に合わせ段階的に進める」ことを推奨する。その根底には、サイバー空間では多数のサイバー脅威があるが攻撃の糸口は似通っており、基本的な対策をするだけでもセキュリティ強度が大きく向上するという考え方がある。
「よくある攻撃の糸口」としてはソフトウェアの脆弱性、ウイルス感染、パスワード窃取、設定不備、誘導の5つが挙がる。それぞれの対策はまさに「情報セキュリティ対策の基本」である下記の5つにつながる。
- ソフトウェアの更新
- セキュリティソフトの利用
- パスワードの管理、認証の強化
- 設定の見直し
- 脅威、手口を知る
IPAが提供するセキュリティ支援を有効に活用せよ
IPAは中小企業のセキュリティ対策を支援するさまざまなツールや制度を提供している。制度は事前の備えからインシデントが発生してしまった後の対応や復旧支援までを提供する幅広いものだ。
まずは平時の対策支援を紹介する。IPAは中小企業に向けて「中小企業の情報セキュリティ対策ガイドライン」を公開している。
これはセキュリティ対策に取り組む際の「経営者が認識し実施すべき指針」や「社内において対策を実践する際の手順や手法」をまとめたものだ。第3版は2021年3月に公開されており、経営者が認識すべき「3原則」と経営者がやらなければならない「重要7項目の取り組み」が記載されている。付録にはセキュリティにおける基本方針やセキュリティ関連規定のサンプルがあり、これらを利用することで最初のステップを大きく進められる。
制度としては、「SECURITY ACTION」も中小企業には有用だ。これはセキュリティ対策ガイドラインの実践をベースに、中小企業が自らセキュリティ対策に取り組んでいることを自己宣言する制度で、取り組みを見える化することで名刺やWebサイトにロゴマークを掲出でき、顧客や取引先へのアピールとなる他、これを基にした公的補助も用意されている。
その他、IPAはインシデント対応に備えた「サイバーセキュリティお助け隊サービス」制度を展開している。これは中小企業がサイバー攻撃への対処として不可欠な機能をワンパッケージのサービスとしてIPAが要件定義し、それを満たす民間のサービスを「サイバーセキュリティお助け隊サービス」として登録、公表するものだ。
要件としては「相談窓口の設置/案内すること」や「24時間監視する仕組み」などに加え、費用についてもネットワーク監視型ならば月額1万円以下、端末監視型であれば1台につき月額2000円以下とするなど、中小企業が利用しやすいサービスを定めている。
(左)「サイバーセキュリティお助け隊サービス」の要件(右)「サイバーセキュリティお助け隊サービス」はIT導入補助金の利用が可能。公募申請受付期間は2023年2月16日で締め切られている。来年度については経済産業省で検討中(出典:横山氏の講演資料)この他、IPAは「5分でできる!ポイント学習」や「映像で知る情報セキュリティ」など、中小企業がセキュリティ研修で活用できるコンテンツも提供している。横山氏は最後に「デジタル活用で生産性の向上や企業力の強化に努めつつ、セキュリティ対策も併せて講じることで、これまで培ってきた信頼や利益を守ってほしい」と語った。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ランサム被害の75%は中小企業 大事なのは“全員参加”のセキュリティ対策だ
ランサムウェア被害が拡大する今、大企業だけでなく中小企業にとってセキュリティ対策を講じることは急務となっています。しかし、なかなか対策が進まない背景には何があるのでしょうか。
UTMを月額1万円以下で 中小企業に向けた5つのセキュリティ製品とは
IPAが、中小企業のセキュリティ対策の促進に向けて「サイバーセキュリティお助け隊サービス」を開始した。コストやセキュリティ要件など一定の審査基準を設けて合致したサービスや製品をブランドとして管理する。
サイバー攻撃者視点で“攻めにくいシステム”とは――上野 宣氏が語る
境界型セキュリティの限界が唱えられて久しい中、企業が目指すべき対策とは何か。現役のペネトレーションテスターである上野 宣氏が、サイバー攻撃者の視点で有効なセキュリティ対策を語った。
サイバー攻撃者との交渉もやむなし? ラック西本社長が語るランサムウェア事前・事後対策
ランサムウェアをいつかは遭遇する“災害”だ。そのために私たちは事前に何を考慮して、どのような対策を講じればいいのか。ラックの代表取締役社長である西本逸郎氏が事前対策から被害後の事後対策までを語った。