コラム columns

2020.12.21 インタビュー

IPAインタビュー「サイバーセキュリティお助け隊」 PART2 ~2019年度のお助け隊事業の実施結果~

IPAインタビュー「サイバーセキュリティお助け隊」の第二回目は、『2019年度のお助け隊事業の実施結果』をお届けします。




■お助け隊事業(2019)を実施してみて

(横山)
中小企業の現状調査をし、セキュリティ機器を設置するまでの過程で色々な問題がありました。中小企業が、今までセキュリティ関連の機器導入が進まなかったところの原因は何なのか、というところが見えてきました。

まず、実証事業といっても、中小企業にこの事業の理解を得るまでが難しい。経営者は理解しても現場が難色を示すケース、その逆のケースもありました。機器の設置段階においても、各お助け隊事業者(以下、事業者)側は、最初、UTM(注1)とマニュアルを送付すれば各企業で設置できる、という考えがあったのですが、実際には、中小企業の現場の人たちは、ほとんど設置することができませんでした。そうすると、そのための支援工数がかかるということが見えてきました。その他にも、ネットワーク構成図がなかったり、ネットワークの実態が構成図通りではなかったり、様々なケースがあることが分かりました。事業者は、かなりの苦労をしていましたが、そういった実際の生の状況を把握するのに役立つ事業だったと思います。


結果的に、727社に行った機器等設置に対して、期間中アラートが910件、駆けつけ支援が18件あり、それなりの割合でサイバー攻撃が発生していることが分かりました(「相談・インシデント等対応状況」の図参照)。

2020-02-02.jpg

相談・インシデント等対応状況 ※報告書より抜粋



実態調査とは別に参加中小企業にヒアリングもさせていただきましたが、仮にコスト面をクリアして実際に導入しようと思ったとしても、その先にも中小企業特有の色々な困難があり、そういうところを一つ一つクリアしていかないと、対策の「実践」にはつながっていかないということが分かりました。電話でのサポート対応や駆けつけ支援のやり方など、そういうところも実証事業として行うことができ、結果をみると、やはり身近に専門家がいて相談できる体制が必要だと感じます。


(芳賀)
本当に色々なケースがありました。回線がぐちゃぐちゃになっていたり、ルータがころがっていたり、実際にそういう写真を事業者の方に見せてもらって実感しました。


(横山)
ADSL回線を使っていたことが障害になりUTMを設置できなかった企業もありました。また、回線の容量からUTMを設置したことにより、その負荷で会社のネットワークが遅くなってしまったケースもありました。中小企業にとって必要なサービスは、UTM等の装置ではないケースもあるのだと分かった一例です。ではそういう企業に対してはどのようなやり方があるか、という検討が今後できると思います。


(芳賀)
参加いただいた企業には、経営者の方も不安に思っているということで、試しでも良いからセキュリティ状況を調べたい、という動機で参加いただく方も多いです。


実際に機器を設置したところ、従業員の方が勝手に設置したネットワークやPCがあったというケースもありました。また、年に何回かしか使わないPCがあり、たまたま期間中に起動されたところウイルス感染しているPCということでアラートが表示されたというケースもありました。このケースでは常にアラートが表示されているわけではないので原因特定が難しかったそうです。このように実際に機器を設置しないと分からないことがあるということが分かりました。


■今回の事業をきっかけに対策を進めている企業も

(横山)
数は多くありませんが、昨年の実証期間終了後も継続して有償で機器設置をしているという会社もあります。必要なことは分かっていただいても、継続するにはもう一つ壁を越えないといけないということですね。実証期間中に実施した中小企業へのアンケートでも、セキュリティにかけられる費用は多くないという結果もありました。


(芳賀)
大阪商工会議所では、昨年度のお助け隊事業をきっかけに中小企業専用UTMを作りました。あまり細かい設定は中小企業には不要ということが分かりましたので、設定が簡単で、設置すれば使える機器となっているそうです。


そういう意味では、中小企業に必要なサービスがきちんとサービス化され利用されてほしいという今回の思いは具体化しつつあるのだと思います。2020年度のお助け隊ではこれをもう一段階あげていく、というそういう段階です。



■今後の課題は

(芳賀)
実際に機器を導入するとなった場合、機器を導入して終わりではなく、実際にアラートを検知すると駆けつけ対応にも費用がかかります。そういうところも含めてサービス化をしていくにはどうしたら良いか、というところです。


高機能な製品が多い現状のUTMは、中小企業には合わないということが分かりました。やり方が分からない、使いこなせない、運用できる体制が整えられない、といった意見があり、中小企業の多くには現状の製品は不向きのようです。


(横山)
ネットワーク管理者がいない中小企業は、攻撃の検知状況が閲覧できても何のことか分からない。そういった、中小企業の担当者ではできないようなことは、監視運用サービスの一部として組み入れる必要があります。そうすることで、担当者は閲覧する必要がなくなります。反対に、もう少し事業規模が大きい企業で、ある程度知識がある担当者がいる場合は、担当者自身で状況を確認できるようにすることが望ましい。そのように、企業の実態に合わせたいくつかのパターンのサービスが展開されることが望ましい。多くの中小企業にお助け隊事業に参加いただいたことで、必要なサービスにもいくつかのパターンがあることが分かりましたので、中小企業の規模や体制などに応じたいくつかのサービスレベルを用意できると良いと考えています。


(芳賀)
さらに今回の実証事業で、UTMがアラートを検知した際のアラートの出し方や閾値の設定内容も、中小企業向けに検討する必要があるということが分かりました。企業の担当者の方が欲しい情報は「この作業をする必要があります」という情報であり、「検知しました」とだけ出力しても伝わりません。実際にお助け隊でも、企業の方から「報告してもらった内容が理解できない」という話があり、分かりやすいように改善していったという事例がありました。こういった生の声は、やってみないと分からないところでしたので、このような意見を集めることができて良かったと思います。


(横山)
専門知識がない中小企業に対して、サービス提供者には、検知結果を分かりやすく説明する能力も求められているということです。それをかなえるためにどうすれば良いかということを考えながら、最終的にこの実証事業で実施したお助け隊がサービス化され、中小企業に求められるサービスとして定着していくことを期待しています。


PCが数台程度の小規模事業者には、UTMよりもEDR(注2)の導入のほうが効果や費用負担を含めて勘案すると望ましいとも言えます。今年のお助け隊の実施事象者の中には、UTMとEDRを両方導入してこのあたりを検証します、という事業者もありますので、どのような結果が出るか楽しみです。


(芳賀)
また、UTMとEDRを両方導入した場合、それぞれの製品がアラートを検知しますので、その後の対応を考えた時に、どちらの導入が良いか、どちらも導入する方が良いか、検証していくとのことですね。他の事業者でも様々な方法でお助け隊事業が実施されるので、昨年度以上の成果があると思っています。これを、後ほどお話するコンソーシアムの中でさらに検討して次の活動へつなげていきたいです。次年度以降、お助け隊をサービスとして提供可能な形にもっていくことができれば、後に続くベンダーも出てきて活性化していくと思っています。それを各業界団体が後押しして推進していく形ができれば望ましいですね。


(芳賀)
昨年のお助け隊はどちらかというと、企業のセキュリティマネジメント体制づくりではなく、サイバー攻撃の実態把握と対処についての活動となりますが、参加企業からの感想として、会社のルールや体制づくり、取り組みの姿勢が大事だという意見が多くありました。検知体制も、それを管理運用していく体制づくりもどちらも必要なのだと思いました。



■サイバー保険は普及が可能か

(横山)
中小企業向けのサイバー保険の一番難しいところは、利用料の設定だと保険会社の方から伺いました。各企業によって持っている情報や持ち方、ネットワーク構成、取引先との関係や取引高といった、利用料に関わる企業実態は様々です。そのため、自動車や火災の保険の販売方式は馴染まないという状況があります。大企業向けでしたらある程度の金額の商品が用意できますが、中小企業には向かない、代理店を通じた販売には適しにくいという意見が、昨年参加の事業者からあがりました。その一つの解として検討できるのが、製品サービスの付帯保険の形での提供です。補償範囲は限られますが、費用負担の受け止め方のハードルが下がります。先ほど、大阪商工会議所が昨年のお助け隊事業を商品化しているという話をしましたが、そこでもサイバー保険は機器の付帯保険としての位置づけだったと思います。その次の段階として、万が一の際の調査費用ですとか、復旧費用に利用いただくための保険も必要になっていきます。各事業者には、その部分まで含めて、どのようなサービスが良いかを検討いただいています。


(芳賀)
損害補償額も一律というわけではなく、扱っている情報によっても異なりますので、被害発生率と合わせてデータ化していく必要があります。まだハードルがありますね。


(横山)
データを増やしていき、UTM等の機器サービスを導入することで発生率が低いということが明らかになれば、保険料は抑えられると思います。そうして商品が広がっていくことができれば理想ですね。利用しやすいサービスにするためにも、まずは事例として多くのデータを蓄積する必要がある、という課題が今ディスカッションされているところです。


(芳賀)
中小企業が踏み台となって大企業がサイバー攻撃にあった場合においては、保険商品として成り立つこと、損害額が特定できること、サイバー攻撃の経路が証明できること、といったあたりが今後の議論の焦点になると思います。




※注1 UTM(Unified Threat Management):複合的なセキュリティ機能を導入して脅威から統合的に保護する手法
※注2 EDR (Endpoint Detection and Response):端末での脅威を検知してインシデト対応等を支援する手法



≪参考URL≫

中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け隊)の報告書について [IPA] -2020年6月15日

昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性についての報告書を取りまとめました [METI] -2020年6月12日

サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されます [METI] -2020年10月30日