経産省とIPA 中小企業のセキュリティ対策を支援

記事の画像

　経済産業省と情報処理推進機構（IPA）は4月15日、中小企業のセキュリティ対策支援を目的とした「サイバーセキュリティお助け隊サービス」制度について記者会見を開き、初回審査で5社を認定したと発表した。

　同制度は、中小企業が安価で利用しやすいパッケージ型のセキュリティサービスをIPAが審査し認定するもので、認定されたサービスは、サイバーセキュリティお助け隊サービスとしてロゴの使用が可能となったり、経団連など170会員が参加しているサプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）を通じて利用が推奨される。経産省の商務情報政策局の奥家敏和・サイバーセキュリティ課長は「サイバーセキュリティお助け隊サービスをブランド化し、中小企業が認定サービスを積極的に利用する環境を作っていきたい」と話した。

　経産省とIPAは2019～20年度に、中小企業のセキュリティ対策支援の仕組み構築を目的に実証事業を実施。セキュリティ対策の状況把握から事前対策の促進、インシデント対応支援などを行った。そこで得た知見を基に、中小企業向けのセキュリティサービスが満たすべき基準を整理し、同制度の審査要件を設定した。

　サイバーセキュリティお助け隊サービスの基準を満たすには、相談窓口、異常の監視の仕組み、緊急時の対応支援、簡易保険などのサービスをワンパッケージかつ低価格で提供する必要があるという。また、中小企業向けにセキュリティ対策を提供・運用した実績も求められる。

　第一回目の審査では、大阪商工会議所の「商工会議所サイバーセキュリティお助け隊サービス」、MS＆ADインターリスク総研の「防検サイバー」、PFUの「PCセキュリティみまもりパック」、デジタルハーツの「EDR運用監視サービス『ミハルとマモル』」、SOMPOリスクマネジメントの「SOMPO SHERIFF」が認定サービスとして登録された。

　サービスの核となる監視の仕組みには、大阪商工会議所がUTM、その他4社はEDRを使用する。IPAの瓜生和久・セキュリティセンター長は「ゲートウェイ製品、エンドポイント製品のどちらを使用するかはサービス提供社の判断になる。ただし、要件の中で価格についても一定の基準は設けている」と説明した。現状での基準は、UTMなどゲートウェイ製品の場合は1端末あたり1万円以下（月額）、EDRなどエンドポイントの場合はPC1台あたり2000円以下（月額）に設定する必要があるという。

　今後は、年2回の審査を予定しており、認定サービスの拡充を図る。目標数は明言しなかったものの、瓜生センター長は「日本の中小企業数を考慮すると、多くのセキュリティ企業に認定を取得してもらいたい。審査結果や運用状況を踏まえ、基準の見直しも行い、より良い制度にしていく」と述べた。（岩田晃久）