セキュリティ機器は導入するだけでは役に立たない

セキュリティ対策は、まずは導入しなければ始まらない。しかし、機器やソリューションを設置、インストールしておけばよいというものでもない。導入はあくまでもスタートであって、目的は日々の運用・管理によって攻撃から守り、被害を受けたとき迅速かつ適切な対応をとることである。

ファイアウォールやUTM(統合脅威管理)など、セキュリティ機器の多くは侵入防止や保護(監視を含む)を目的としたものが多く、普段は設置しておけば一定の攻撃から守ってくれる。しかし、実際に攻撃を受けた場合、機器がアラートをあげた場合に、適切に対処できる企業の担当者はどれだけいるだろうか。

有事にインシデント対応が難しい中小企業

中小企業の場合、実際にサイバー攻撃を受けて被害が発生している状態になると、対応に限界があるのも事実だ。機器導入や最低限のサポート契約などをしていても、ランサムウェアでデータが暗号化され業務システムが使えなくなったら、その復旧は簡単ではない。ランサムウェアによって暗号化されたデータの復旧は、専門スキルやツールがなければ難しい。

大手セキュリティベンダーや専門業者に頼むにしても、飛び込みで緊急対応してくれるベンダーは少ない。あったとしても中小企業が気軽に頼める金額ではない。ランサムウェアについては復号・サルベージを専門とする事業者も存在するが、知識や知見もない企業が、ネット検索だけで業者を選定するのも不安だろう。

攻撃の高度化にともない、セキュリティ対策もファイアウォールなどの境界防衛から、侵入前提の監視・検知の強化も必須とされる。さらに、現在は、攻撃被害を受けた後の処理、インシデント対応の重要性が叫ばれている。入口を固めていればよかった時代から、内部にも監視の目を張り巡らせる必要がある時代になった。さらに、それだけでは防げない攻撃が増えてくると、守る側は、被害を受けたあとの対応能力・復旧能力も持つ必要がある。

最近の攻撃動向に対しては、EDR(エンドポイントセキュリティ)や企業内CSIRT(インシデント対応チーム)が注目されている。攻撃を防ぎ、検知するだけでは不十分で、被害を復旧することも念頭においた対策および体制が不可欠となっているからだ。その背景事情のひとつには、ランサムウェアなど業務に直接影響が出る攻撃が増えたことがある。

「サイバーセキュリティお助け隊サービス」とは

しかし、多くの中小企業は、各社EDRサービス、クラウドを利用したSOCサービス(24時間監視サービス)、CASB、SASEといったソリューションなどには手が出ないというのが本音なのではないだろうか。特に中小企業にとって、セキュリティ投資は理屈でわかっていても予算的にハードルが高い。

IPAが進める「サイバーセキュリティお助け隊サービス」(お助け隊) は、中小企業のこの課題に対応するための実証事業だ。主旨は、中小企業のセキュリティ対策、とくにインシデント発生時に助けとなるしくみを整備しようというものだ。予算も限られており、どこから手を付けていいかわからない、いまランサムウェアに感染してしまったがどうすればいいかわからない、といった場合の最初の拠り所になりうるサービスと言える。

この実証実験では、IPAが設定した「お助け隊」の要件を満たす事業者に認定マークを与える。中小企業は認定マークのある「お助け隊」登録ベンダーと契約していれば、セキュリティ対策や緊急時対応について相談・連絡することができる。

「お助け隊」の要件には、以下の10項目が規定されている。

(1)相談窓口

(2)異常の監視の仕組み

(3)緊急時の対応支援

(4)中小企業でも導入・運用できる簡単さ

(5)簡易サイバー保険

(6)上記機能のワンパッケージ提供

(7)中小企業でも導入・維持できる価格等

(8)中小企業向けセキュリティサービス提供実績

(9)情報共有

(10)事業継続性

相談窓口と対応支援をパッケージ化

「サイバーセキュリティお助け隊サービス」のポイント

中小企業にとってのポイントは、まず「相談窓口」があること。前述したように、そもそも「ランサムウェアで脅迫されている」「情報漏えいを顧客や外部機関から指摘された」「UTMがアラートを出しているが意味がわからない」といったとき、とりあえず相談できる先が確保されていることの意味は大きい。

24時間の異常監視も提供要件に含まれているので、ファイアウォールやUTMの設定だけでなく侵入検知やアラートの対応も期待できる。サイバー保険も必須要件であるため、システムダウン等による金銭的な補償の道筋も付けられている。

通常、24時間監視契約やサイバー保険を導入するとなると個別の契約となることが多い。予算的なハードルの一因ともなっているが、複数ベンダーとの契約や調整も中小企業には負担でしかない。(6)(7)のワンパッケージ提供と価格要件は、この問題に対応する。

価格要件には、包括サービスで月額10,000円(税抜き)以下、端末1台あたり2,000円(同前)以下という目安が与えられている。包括契約と端末契約の組み合わせは認められているが、端末契約は1台でも契約可能としなければならない。初期費用(別途必要)、契約年数、解約についても細目の規定があり、(8)の提供実績とともに認定ベンダーの透明性・信頼性を確保している。

実際にかかる金額は契約内容やインシデントの状況による部分もあるが、月額方式は、中小企業にとっても予算化しやすいはずだ。

セキュリティは経営責任

現在、「お助け隊」の登録ベンダーは9社ある(サイバーセキュリティお助け隊サービスリスト2022年2月段階)。大手から中堅まで幅広いベンダーが登録されている。
大阪商工会議所の支援サービス なども認定・登録されている。

また、「サイバーセキュリティお助け隊サービス」のホームページには「サイバーセキュリティ対策かるた」 というコンテンツも公開されている。カジュアルなイラストでセキュリティにまつわるポイントや標語をかるたにしたものだ。活動のPRコンテンツだが、標語の意味を考えてみることで、セキュリティ意識をリマインドするのもいいだろう。

ただし「お助け隊」も万能ではない。インシデント対応や復旧作業の受付・相談窓口としては機能してくれるが、高度な復旧作業は、登録ベンダーの別メニューか専門業者を紹介してもらう形になる。

サイバー保険も用意されているが、自社のリソースの復旧やリプレースなどは各自の責任となる。ランサムウェアで暗号化、または破壊されたデータが復元できるかどうかは、実際の状況とかけられる予算による。サイバー攻撃の場合、大がかりな攻撃や犯罪以外、警察が犯人逮捕に動くことが期待できないため、攻撃者や犯人に損害賠償を請求するということが難しい現実がある。一般的な犯罪や事故より若干不合理を感じるかもしれないが、経営責任のひとつとして1ランク上のセキュリティに取り組んでいくべきだろう。

著者プロフィール

中尾 真二(なかお しんじ)

フリーランスのライター、エディター。アスキーの書籍編集から始まり、翻訳や執筆、取材などを紙、ウェブを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは当時は言わなかったが)はUUCP(Unix to Unix Copy Protocol)の頃から使っている。