バックナンバー

  • 2020/09/18 (Fri) 16:00
    ★☆★JNSAメールマガジン 第195号 2020.9.18☆★☆
  • 2020/09/04 (Fri) 15:45
    ★☆★JNSAメールマガジン 第194号 2020.9.4☆★☆
  • 2020/08/21 (Fri) 15:30
    ★☆★JNSAメールマガジン 第193号 2020.8.21☆★☆
  • 2020/08/07 (Fri) 15:30
    ★☆★JNSAメールマガジン 第192号 2020.8.7☆★☆
  • 2020/07/10 (Fri) 15:30
    ★☆★JNSAメールマガジン 第191号 2020.7.10☆★☆
  • 2020/06/30 (Tue) 12:14
    ★☆★JNSAメールマガジン 第190号 2020.6.26☆★☆

★☆★JNSAメールマガジン 第191号 2020.7.10☆★☆

2020/07/10 (Fri) 15:30
★☆★JNSAメールマガジン 第191号 2020.7.10☆★☆

こんにちは
JNSAメールマガジン 第191号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed

コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。

今回のメールマガジンは独立行政法人情報処理推進機構 小門寿明様に
ご寄稿いただきました。

【連載リレーコラム】
サイバーセキュリティお助け隊など昨年度の中小企業対策促進事業について

独立行政法人情報処理推進機構(IPA)セキュリティセンター
小門 寿明

2019年度に以下の3件の中小企業事業者の支援施策事業を実施しましたので、
取りまとめた結果についてご案内します。

「1.中小企業向けサイバーセキュリティ事後対応支援実証事業
   (サイバーセキュリティお助け隊)」
「2.中小企業情報セキュリティマネジメント指導業務」
「3.中小企業向けサイバーセキュリティ情報提供
プラットフォーム調査事業」

-----------------------------------

「1.中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバー
セキュリティお助け隊)」

多くの中小企業においては、未だサイバーセキュリティに対する意識が低く、
仮に自社がサイバー攻撃に遭っていてもそれ自体に気付かず、その結果、サイ
バー攻撃の被害が拡大するケースも多く発生しています。一方で、中小企業が
サイバーセキュリティについて気軽に相談できる窓口や、サイバー攻撃に遭っ
た際に事後対応するサービスへのニーズがあるものの、サービス提供側が、中
小企業の被害実態や中小企業支援に必要な人材スキル等の把握に至っていない
ため、中小企業のニーズに合った製品やサービスが十分に提供されているとは
言い難い状況にあると言えます。

本事業は、こうした状況を踏まえ、中小企業のサイバーセキュリティの被害実
態等を把握することで、これら中小企業向け事後サービスに必要な人材スキル
やサービス内容等を明らかにするとともに、中小企業が利用しやすい支援体制
の構築を目指すための実証事業として実施しました。

企画競争を経て8地域での実証提案(事業者)を選定し、各地域の団体・企業
等と連携の下、19府県の中小企業、計1,064社に実証に参加していただき、サ
イバーセキュリティ対策支援の実証を行い、遭遇しているサイバー攻撃の実態
や、対策ニーズの把握等を行って、その成果を取りまとめています。

参加いただいた中小企業には、主に、UTM機器、EDR(エンドポイント対策
システム)などの外部からのサイバー攻撃に対処する機能を有するセキュリ
ティ機器、システムを導入し、サイバー攻撃の検知や監視を行うとともに、
実証に関する相談受付及び対応体制(コールセンター)の構築なども合わせて
提供しています。

対象となった中小企業の内、今までUTM機器などを導入していなかった(使用
したことがない)企業においては、サイバー攻撃を受けていること、また、そ
れらの攻撃に対処出来ている状況が、可視化されて把握できるのはたいへん良
いとのコメントが多く寄せられています。

また、取引先との関係で、情報セキュリティ対策を導入している、実施してい
ると言えることは、関係性にインセンティブをもたらし、今後の取引にも良い
影響を与えるという回答をしている参加者が複数ありました。(昨今では、情
報セキュリティ対策を実施していることが取引を行うための最低限の要件の一
つであることも多くみられます)

その他のサービスとして、機器を導入して監視し、攻撃の発生等が確認された
際に、技術者等を現地に派遣して、調査を行い、原因を究明し然るべく対処を
行うという「駆け付け隊サービス」を実施したケースも18件あり、中には、
当事者が気付かない場合で、監視サービスにより異常を検知して駆け付けて、
発生している事象の詳細を把握し、適切な対処により被害を未然に防ぐことが
出来たという事例もありました。

今回の実証実施の結果として、検知及び防御のための対策や社内体制の構築が
できていない企業が多いことが判明し、それら中小企業においては、人的リ
ソースやコストに制約があることなどから、中小企業に必要なセキュリティ対
策を促すための取り組みとして、
 ・継続的な意識啓発
 ・導入、運用しやすい対策機器やサイバー保険の開発
 ・専門家の伴走型支援を含むパッケージ化された商品
 ・コストの低廉化
などが重要であると考察しています。

また、実証結果を踏まえて、中小企業が導入し易いセキュリティ機器、システ
ムなどの検討を行い、中小企業の導入が実現出来るセキュリティ機器、システ
ム等の考案と商品化を進める取り組みも合わせて行っています。

詳細につきましては、上述の事業成果の報告書を6月15日付けで、IPAのホーム
ページに公開していますので、以下をご参照ください。

中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバーセキュリ
ティお助け隊)の報告書について

https://www.ipa.go.jp/security/fy2019/reports/sme/otasuketai_houkoku.html

-----------------------------------

「2.中小企業情報セキュリティマネジメント指導業務」

これまでIPAでは、中小企業における情報セキュリティ対策意識の向上を目的
に、全国のセミナー等への講師派遣を実施してきました。セミナー等への参加
を通じて意識は高まりますが、中小企業がマネジメント体制構築等の具体的な
対策を実践する場合には、「どこからどう実施してよいかわからない」を挙げ
る企業が多く、中小企業がセキュリティ対策に取り組む上での障壁の一つと
なっていました。また、中小企業にとっては身近で気軽に相談できる専門家が
いないのが現状でした。
これらの課題を解決すべく、地域で活躍している情報処理安全確保支援士
(RISS)等の専門家を活用し、中小企業へ専門家が訪問し、指導を行うことで、
中小企業が地域内の身近な専門家との関係を構築することができ、情報セキュ
リティ対策意識の向上のみならず、中小企業の情報セキュリティ対策水準の向
上につなげられないか、また、RISSがマネジメント体制構築の指導を実施する
中で、この分野がRISSの活躍の場となりうるのか、そのための指導要領として、
指導の回数や指導教材を含めた指導レベル等の見極めなど、今後のビジネス化
に向けた検討を行うための実証的な目的をもって本事業を実施しました。

昨年度の本事業では、基本的に1社あたり4回のRISS等の専門家派遣を全国の
中小企業382社に対して行い、中小企業の各現場に応じたリスクの洗い出しか
ら、「情報セキュリティ基本方針/関連規程類」の整備・改訂、「情報セキュ
リティ対策実行計画書」の効率的な作成などを実施しています。

参加された中小企業からは、情報セキュリティ対策に取り組みたいが具体的に
どのように進めて行けばよいか等について相談する先を紹介してもらえたのは
たいへん有り難かった、引き続き、有償でもよいので、これからも相談先とし
て対応してもらうことは出来ないかといったようなご意見が複数ありました。

さらに、情報セキュリティ対策を実施していくことは、たいへん難しいものだ
と思っていたが、専門家の指導を受けて始めてみると、考えていた状況よりも
はるかにスムーズに進めていくことが出来たなど、また、対策を実施するため
には、ツールやシステムの導入が必要で、もっと予算や人手がかかるものと思
っていたが、それらの導入が直ちに必要というわけではなく、初期の基本体制
を調整していく上では、現状に少し手を加える程度などで、思ったよりも費用
や人手を掛けずとも、適切に進めて行くことが出来ることが分かったので、
もっと早く取り組みを始めればよかったなどの感想が聞かれました。

ただ、指導を受けていく過程で、業務が忙しいため、専門家から指示された作
業を期限内に実施することが難しい状況があったことや、対策に関する知識が
不足しているため、それらを習熟理解してから指示されたことに取り組むこと
にならざるを得ないので、期限までの作業の時間が不足したなどの課題も見受
けられました。

これについて、指導した専門家からは、相手先のレベルや業務状況に合わせて
回数を増やすなども含めてもう少し長いスパンでスケジュールを組むことが叶
うようであれば、もっと中小企業の方の初期の準備段階の対応が適切に進めら
れることになると思われ、設定されているカリキュラムも予定通り無理なく完
了することが出来、さらに、次のステップへ、自発的にセキュリティベンダー
へニーズを伝えて(専門家の協力を得るなども含め)自ら進めて行くことが出
来るようになるのではないかとのご意見がありました。

詳細につきましては、上述の事業成果の報告書を6月15日付けで、IPAのホーム
ページに公開していますので、以下をご参照ください。

中小企業情報セキュリティマネジメント指導業務の報告書について
https://www.ipa.go.jp/security/fy2019/reports/sme/management.html

-----------------------------------

「3.中小企業向けサイバーセキュリティ情報提供プラットフォーム調査事業」

本事業は、中小企業における製品選びの一助となる情報を提示するために有効
なプラットフォーム「中小企業向けサイバーセキュリティ情報提供プラット
フォーム」の構築に向けた実現可能性調査の取り組みとして実施しました。

中小企業のセキュリティ対策水準を向上するため、自社に適したサイバーセ
キュリティ対策製品・サービスの導入により具体的対策の実践を促すことの有
効性は疑う余地がないと思います。しかし、多くの中小企業は、ITやサイバー
セキュリティに関する知識が必ずしも充分であるとは言えないことから、自社
に適したより効果的なセキュリティ対策を実施するために、具体的にどのよう
な製品を導入すべきかを自らたやすく判断して選定することが難しい状況であ
ると推測されます。

このため、中小企業のサイバーセキュリティ対策促進のため、中小企業でも扱
いやすい製品とそれに付帯するサービスについて、導入や運用することで得ら
れる効果、費用、利用のし易さ、課題等についてわかりやすく提示することが
出来る中小企業向け情報提供プラットフォームの構築提供が必要ではないかと
考え、今回の実現可能性調査を実施しました。

本事業では、複数のサイバーセキュリティ製品・サービスを、ご協力頂いた中
小企業に実際に導入して、実証を行っています。実証にあたっては、評価項目
についてあらかじめ以下の7つの観点
 1)導入のし易さ、2)運用のし易さ、3)導入・運用することで得られる効果、
 4)導入時や運用時に要する費用、5)導入や運用における課題の解決、
 6)経営へのインパクト、7)セキュリティ性能
について調査仮説を構築し、その調査仮説の検証を行うことにより、評価項目
の有効性検証を実施しています。

前述の検証実施結果を踏まえて、中小企業に広く訴求するために、セキュリ
ティベンダー側、中小企業側に提供するコンテンツとして、以下の3つのコン
テンツをそれぞれ取りまとめています。

「1.評価項目の定義・解説書」、
 導入実証による評価項目の有効性検証結果等を踏まえて、登録申請者がサイ
バーセキュリティ製品・サービスに関する情報を申請する際に用いる参考とす
べき評価の観点や、詳細な評価項目についてそれぞれの定義や解説を記載して
います。

「2.評価項目に沿った申請時の記載方法の手引書」、
 セキュリティベンダーが評価項目に沿ってサイバーセキュリティ製品・サー
ビスに関する情報の申請を行う際に、留意すべき点について記載しています。

「3.中小企業におけるプラットフォームの活用方法の解説書」
 中小企業向け情報提供プラットフォームのあるべき姿等に関する方向性につ
いては、中小企業が当該プラットフォームを活用するうえで、当該プラットフ
ォームに対する理解を得るために、また活用方法を決めるために必要となる基
礎的な情報であると思われます。これらの基礎的な情報をユーザーにおけるプ
ラットフォームの活用方法の解説書として記載しています。

詳細につきましては、上述の事業成果の報告書を6月15日付けで、IPAの
ホームページに公開していますので、以下をご参照ください。

中小企業向けサイバーセキュリティ情報提供プラットフォーム調査事業の報告
書について
https://www.ipa.go.jp/security/fy2019/reports/sme/smesecinfopf.html

-----------------------------------

これら3つの事業のそれぞれの情報が、中小企業に製品やサービスを提供され
ているベンダーの皆様方におかれまして、中小企業向けセキュリティ製品・
サービスの検討の際のヒントとなりましたら幸いです。


#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。

<ワンクリックアンケートお願い>
今回のメールマガジン第191号の感想をお寄せください。
http://urx.red/VRAx
※googleアンケートフォームを利用しています。

【部会・WGからのお知らせ】
★(会員限定)海外市場開拓WG勉強会
 「ワッセナーアレンジメントと安全保障貿易管理」
  日時:7月20日(木)16時~17時
  講師:菅野泰彦 氏(アルプスシステムインテグレーション株式会社)
 参加は事務局までお問い合わせください。

★「SECCON Beginners CTF 2020 結果を公開しました!
 https://www.seccon.jp/2020/

【事務局からのお知らせ】
★テレワークから通常のオフィス勤務に戻るときに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
 https://www.jnsa.org/telework_support/telework_security/index.html

★JNSA事務局を騙った詐欺事件が相変わらず頻発しています。
当協会から弁護士費用を請求したり、金銭受取の念書を発行することは一切
ありませんので、不審な点がありましたら当協会まで直接お問合せ下さい。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
 office@jnsa.org


☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第191号
発信日:2020年7月10日
発 行:JNSA事務局 office@jnsa.org
*************************************