経済産業省とIPA(情報処理推進機構)が「サイバーセキュリティお助け隊サービス」なるものを始めました。深刻化するサプライチェーン攻撃の実態を受けてセキュリティ対策が進まない中小企業に向けた施策の一環のようですが、どのようなサービスなのでしょうか?
中小企業のニーズにマッチした支援
IPAによると、日本国内の中小企業は業種や規模を問わず例外なくサイバー攻撃の危険に晒されている実態があるということです。しかし、サイバーセキュリティ対策にまで手が回らなかったり、人材が不足していたり、資金的な問題があったり様々な理由でサイバーセキュリティへの対応は進んでいないようです。また、大手のサイバーセキュリティ企業が提供するシステムや製品は経済的に折りあわなかったり、使いこなせるセキュリティ人材が社内にいないなどといったことも対応が進まない要因としてあるのかもしれません。しかし、攻撃者はセキュリティが脆弱な企業のシステムに侵入し、システムを通してターゲットに迫っていくのが昨今の手法です。
国内の中小企業のセキュリティ対策に危機感を抱いたIPAと経産省では、2年前から中小企業向けのサイバーセキュリティ支援のあり方について検討をしていたようで、複数の企業を実施主体に実際に中小企業に対してインシデント対応支援等の実証実験を行うなどして中小企業のニーズにマッチしたサイバーセキュリティ対策支援サービスについて開発を進めてきたということです。そして今年2月には中小企業向けのセキュリティ対策支援サービスが満たすべき要件をIPAが策定しました。その内容は概ね以下のようなものです。
- ユーザーからの相談を受け付ける窓口を一元的に設置している。
- ユーザーのネットワークおよび端末を24時間見守り、攻撃を検知・通知する仕組みを提供している。
- 技術者を派遣するなどの緊急時の対応支援を行う。
- 専門知識のないユーザーでも導入・運用できる工夫がされている。
- ネットワーク一括監視の場合、月額1万円以下、端末監視では1台2000円以下で端末1台から契約可能である。
- サイバー保険が付帯されている。
- 上記内容をワンパッケージで提供している。
これらの要件を満たしている支援サービスに対しては、サイバーセキュリティお助け隊サービスとして認定し、サイバーセキュリティお助け隊マークの使用を許諾するということです。つまり、サイバーセキュリティお助け隊サービスをブランド化することで、経産省やIPAが推奨する一連の要件を満たした中小企業向けサイバーセキュリティ支援サービスの普及を図り、中小企業のセキュリティの向上を図ろうということのようです。IPAはこのほど第1回の審査を行い5つ事業者が提供するサービスをサイバーセキュリティお助け隊サービスに認定しました。
認定要件にサイバー保険、大手損保関連会社も参入
経産省とIPAが取り組むサイバーセキュリティお助け隊サービスで注目されるのは、サービスとして必要な要件の中にサイバー保険が盛り込まれており、このほどお助け隊サービスに認定されたサービス事業者5社のうち2社が大手損害保険会社の関連会社だということです。サイバーセキュリティ分野への参入に積極的な保険会社の姿勢を感じます。損害保険の業界団体である日本損害保険協会も、サイバー保険に特化した特設サイトを開設して、業界をあげてサイバー保険をPRしています。その特設サイトによれば、サイバー保険はサイバーリスクに起因して発生する様々な損害に対応するための保険で、具体的にはサイバー攻撃を受けた際に必要となる事故対応費用やサイバー攻撃により生じた利益損害や営業継続費用を補償するということです。
経済的な基盤が弱い中小企業にとって、サイバー攻撃により生じる損害や経費は企業の存続をも脅かすリスクになりかねません。それを保険によって賄うことが出来れば大いに有り難いことです。しかし、一方でアメリカ等でランサムウェア攻撃が絶えないのはサイバー保険があるからとの声も聞かれます。企業の損失が保険で補償されることに攻撃者がつけ込んでいるというわけです。ただし、日本損害保険協会の特設サイトの説明によると、ランサムウェアの身代金支払いは保険の対象にはならないようです。今後、サイバーセキュリティお助け隊サービスを通じて国内の中小企業にサイバー保険が普及していくのか注目されます。
■出典