2020.12.14 インタビュー
IPAインタビュー「サイバーセキュリティお助け隊」の第一回目は、『中小企業を取り巻く現状』をお届けします。
■サイバーセキュリティお助け隊事業の背景
(横山)
サイバーセキュリティお助け隊の構想事業は、経済産業省に設置された産業サイバーセキュリティ研究会のワーキンググループでの議論されたテーマのひとつでした。
背景としては、中小企業におけるサイバーセキュリティの課題に対する対応の必要性が、挙げられます。中小企業は、セキュリティへの理解が低いことや、何をどこまでやれば良いのかわからない企業が多く、そもそも自分たちの持っている情報に価値がないと思っているケースもあります。取引関係においては、中小企業へ情報を預けたところから漏れるというケースや、セキュリティ対策ができていない中小企業を踏み台にして攻撃の足掛かりにするケースが懸念されていました。
中小企業は、実際に何か起こった場合、標的型攻撃や情報を盗む時点において、攻撃があったことが分からないケースが多い。攻撃があったことが速やかに把握できればサイバー攻撃による被害を防げます。本来は、このようなことが日常的に検知できているセキュリティ体制が必要ですが、中小企業では対処するための方法や手段を持っていない場合がほとんどです。
(芳賀)
今回の実証事業の前段として、2018年に大阪商工会議所が中小企業30社に対して、セキュリティ監視装置を付けた通信データ等の収集を行った調査があり、調査した30社すべてでサイバー攻撃があったという結果が出ました。この調査結果をうけて、これは由々しき事だということで、全国でやりましょうと今回の実施に至ったという背景もあります。
■IPAのこれまでの中小企業向け活動
(横山)
IPAのセキュリティに関する中小企業へのアプローチは、どちらかというと今まで、ガイドラインをベースにマネジメント体制をしっかりしていきましょう、ルールを作っていきましょう、セキュリティアクションをやりましょう、という活動がメインで、具体的な製品サービスに踏み込んだ形での活動ではありませんでした。発注元から信頼を得るには、マネジメントの体制ができているだけではなく、実際に防御ができていると判断する根拠がないと、十分な信頼を得られない、ということもありますので、今回このような実証事業を全国で実施することで、中小企業のセキュリティ対策をより強化するための検討を進めていこうということになりました。サイバーセキュリティに関する中小企業を対象とした、これだけ本格的な実証事業は初めてと思います。
■中小企業のサイバーセキュリティの実態
(横山)
そもそも中小企業は、日常的にサイバーセキュリティ対策を実施するための相談相手がなかなか身近にはいません。セキュリティのシステムやサービスという観点において、大企業向けの製品サービスはありますが、中小企業のビジネスにあてはまるものがあるかというと、大半は大企業ではないと金額が支払えないというコストの問題もあります。
サイバー保険に関しては、危機意識によるニーズの面もありますし、大企業向けには色々なサービスが出始めているのですが、費用負担を考えると中小企業向けサービスは出来上がっていません。まず保険そのものの認知も低いですし、保険会社からしても、保険商品を作って保険料を決める時に必要な、被害事例やどれくらいリスクがあるかといった情報がまだ少ないために、保険商品が作りにくいという側面もあると聞いています。
報道をみても、大企業のサイバー攻撃や標的型攻撃の報告は記事として取り扱いされますが、中小企業のセキュリティ事故の実態はなかなか表に出てきません。この実証事業で明らかにしたいという思いがありました。
■サイバーセキュリティお助け隊事業の概要
(横山)
以上の背景を踏まえて、今回、中小企業への機器サービス導入、日常的な相談も含めた対応、万が一の際の駆けつけ支援サービスを行うという、機器の導入から日々の運用まで含めたトータルでの実証事業を行いました。トータルにした形での実証事業を行うことで、どれだけのサイバー攻撃が存在するのかを明らかにし、日常的な相談相手、サポート体制はどういうものが良いか、特に地域中小企業の相談相手は地元ですので、地元においてサービスができあがるかどうか、また、費用負担の見合った保険サービスができるか、ということを検証するというのがお助け隊事業の趣旨になります。
目的としては、実証結果をもとに中小企業のニーズに合っていて、使いやすく、導入しやすいセキュリティサービス、保険商品のあり方を検討していくということになります。
今回、監視体制、相談体制、万が一の体制、サイバー保険の検討を行うことを要件としていますが、機器選定や設置方法、監視方法、サポートの仕方(受付の仕方、駆けつけ対応の仕方)など具体的な手法など指定せずに、"事業者"に提案いただきました。サポートの部分を他の会社に委託して事業主体の会社が機器の提供を行う、など事業者の実施体制にも色々なパターンがあります。
その目的としては、色々なやり方で行う中で良いものが見つかったら良いですし、本当に中小企業に必要なものが見えてきます。もしくは、これは課題になるということも見えてきます。それらをもとに各事業者がサービス化を見据えて実証していただくともっと良い、という思いがありました。
セキュリティセンター グループリーダー 横山 尚人氏(左)
セキュリティセンター 芳賀 政伸氏(右)
≪参考URL≫
・中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け隊)の報告書について [IPA] -2020年6月15日
・昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性についての報告書を取りまとめました [METI] -2020年6月12日
・サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されます [METI] -2020年10月30日