「令和2年度中小企業の情報セキュリティマネジメント指導業務」報告書について

報告書の概要

あらゆる産業活動においてサプライチェーンリスクの問題が顕在化しつつある昨今、サプライチェーンを構成する中小企業のサイバーセキュリティ対策を進めることは喫緊の課題です。さらに、新型コロナウイルス感染対応による急激なテレワークの拡大によって生じたIT利用環境の変化やそれを狙ったサイバー攻撃など、新たに生まれた情報セキュリティリスクへの取組みも重要な課題です。
こうした状況を踏まえ、経済産業省とIPAは、サプライチェーンを構成する中小企業のサイバーセキュリティ対策を進める上において、情報処理安全確保支援士(脚注1)（以下、登録セキスペ（RISS））などのセキュリティの専門家の活用の可能性、課題解決の検討を行うことを目的に、前年度（令和元年度）に引き続き、全国の中小企業等を対象に、地域で活躍している登録セキスペ（RISS）などのセキュリティの専門家を1社あたり4回派遣し、リスクの洗い出し、セキュリティ基本方針の策定、関連規定や手順書の策定までの指導業務を実施しました。

1. （脚注1）
   情報処理安全確保支援士とは サイバーセキュリティ分野の国家資格で、資格者は政府機関や企業等における情報セキュリティ確保を支援します。 詳細は、国家資格「情報処理安全確保支援士（登録セキスペ）」のウェブサイトをご参照ください。

   • 国家資格「情報処理安全確保支援士（登録セキスペ）」とは

事業実施期間：令和2年9月4日（金曜日）～ 令和3年2月15日（月曜日）

事業の概要

前年度事業の課題と本事業の取組み

前年度（令和元年度）の事業では、全国の中小企業382社に専門家派遣を実施、96.4％の指導先企業が成果を得ることができたと回答する等、身近な専門家の有効性や役割の重要性が確認されました。他方、課題としては、指導先企業が3大都市圏(脚注2)に偏重する傾向や、専門家のコンサル業務への不安等があげられました。
そこで、本年度（令和2年度）の取組みとしては、特に3大都市圏以外の36道県地域の中小企業の参加を促進しつつ、サプライチェーンを構成する中小企業、テレワーク導入を進める中小企業等への専門家派遣を実施しました。併せて、本事業で作成した指導要領（指導ツール）の有効性確認と、中小企業向け伴走型支援サービスの活用と普及促進について必要な情報の収集を行いました。

1. （脚注2）
   3大都市圏: 首都圏(東京都、神奈川県、埼玉県、千葉県)、中京圏(愛知県、岐阜県、三重県)、近畿圏(大阪府、京都府、兵庫県、奈良県)

• 前年度（令和元年度）事業については中小企業の情報セキュリティマネジメント指導業務
• 本年度（令和2年度）事業については令和2年度中小企業の情報セキュリティマネジメント指導業務

中小企業等の参加申込み状況

本事業では、国、商工団体、中小企業支援機関等との連携による指導先企業の募集活動を実施した結果、413社の中小企業等の参加申込を受け、参加申込み後キャンセルを除く395件に対して専門家とのマッチングを実施、中小企業側の社内都合による途中終了2件を除く393件が指導業務を終了しました。
都道府県別の中小企業申込数では、3大都市圏（11都府県）が234社(56.7％)、36道県地域179社(43.3％)で、36道県地域の中小企業の参加を促進した結果、前年度の36道県地域の割合（34.6%）に比べ約10％増加しました。

指導要領（指導ツール）の作成

本事業では、IPAの中小企業向けセキュリティ対策支援ツールを活用した指導要領（指導ツール）を作成し、中小企業等への指導業務を行いました。指導要領には、指導業務の達成目標と成果物を定義し、マネジメント指導の具体的な進め方やコミュニケーションのポイント、前年度経験者の声、テレワーク推進の留意点等、指導ノウハウを盛り込みました。

• 指導要領（指導ツール）について(PDF:5.8 MB)

専門家の参加登録状況

本事業では、事業へ参加を希望する登録セキスペ（RISS）等のセキュリティの専門家に対して、指導要領（指導ツール）をテキストとするE-ラーニング形式の指導講習会をオンライン開催しました（参加申込み総数1,035名／受講完了599名）。指導講習会受講後、452名の専門家が本事業への参加登録を行いました。
参加登録した専門家の都道府県別分布は、3大都市圏（11都府県）305名(67.5％)、36道県地域147名(32.5％)でした。

アンケート及びヒアリング調査等の結果

指導先企業へのアンケート結果

本事業では、指導を完了した指導先企業へアンケートを依頼し327件の回答を得ました。指導先企業へのアンケート結果の主なポイントは以下のとおりです。
専門家による指導を受けて、指導先企業の97.6%（前年度96.4％）が成果を得ることができたと回答、専門家とのコミュニケーションについても97.2%（前年度97.5％）がスムーズだったと回答し、前年度事業と同様に高い評価を得ました。

また、今後の専門家による指導・支援の希望については、「一時的な相談等の軽微な支援」が41.7％と最も多かったが、案件ごとのコンサルティングや定常的な支援を希望する声もあり、程度の差はあれ、合わせて63.8%の指導先企業が継続指導・支援を希望しました。

専門家へのアンケート結果

本事業では、指導先別の専門家による指導報告、並びに指導専門家のうち登録セキスペ（RISS）へのアンケートを実施しました。専門家による指導報告、並びに登録セキスペ（RISS）へのアンケート結果の主なポイントは以下のとおりです。
専門家の指導報告では、64.1％の専門家が指導先企業へ有償での継続フォローを提案したところ、回答のあった企業のうち、15.7％（37社）の指導先企業から実際に依頼があったことに加え、46.8％（110社）の企業も検討するとしているところ、有償でも専門家による支援のニーズがあることが確認できました。

また、登録セキスぺ（RISS）による、中小企業を対象とした有償支援ビジネスの可能性については、指導専門家のうち登録セキスぺの（RISS）の 37.3％が「可能だと思う」と回答しました。他方、「難しいと思う」と回答した専門家からは、登録セキスぺの 知名度・有効性の認知度や、中小企業のコスト面の負担に関する課題が挙がりました。

指導先企業へのヒアリング調査結果

本事業では、指導先企業アンケートから、中小企業等に参考になる取組みを抽出して、当該指導先企業（8社）に対するヒアリング調査を実施し、調査結果をもとに「セキュリティマネジメント指導事例集」を作成しました。ヒアリング調査の結果、マネジメント指導の成果については、「リスクの見える化と実行計画の策定により不安がクリアされた」、「外部の専門家からの意見により経営者の理解が深まった」等の意見が聞かれ、専門家が指導先企業の信頼を得る指導を行ったことがうかがえました。

• セキュリティマネジメント指導事例集について(PDF:1.1 MB)

伴走型支援サービス検討のための関係調査結果

本事業では、自治体（都道府県、道府県県庁所在地、特別区、政令指定都市）を対象として、自治体ホームページから、「専門家派遣」、「相談窓口」、「働き方改革支援」といったキーワードにより、中小企業支援事業の抽出を行い、登録セキスぺ（RISS）の活躍の場として適正が高い事業について文書調査を行いました。
調査対象121の自治体のうち、該当事業のあった75の自治体から合計99件の事業を抽出し、4つの基準で分類、その結果から、登録セキスぺ（RISS）が伴走型支援サービスの専門家として活動していくための施策案を考察しました。

本事業の成果と課題

本事業の成果

本事業では、以下の成果を得ることができました。

中小企業のセキュリティに係る取組意欲、セキュリティレベル、継続改善の意識が向上

専門家の指導報告では、経営層においては84.4％、従業員においては68.3％がセキュリティに対する取組意欲が向上、企業としての情報セキュリティレベルも97.6%が向上しました。また、指導先企業へのアンケートでは、今後実施すべきと考える取組みについて、指導先企業の77.7% が「体制整備・運用ルールの策定・継続的な改善」と回答、継続改善の意識が高いことがうかがえます。

セキュリティマネジメント指導に係る指導要領（指導ツール）の有効性を確認

専門家の指導報告では、指導先企業の状況として73.6％が使用した標準カリキュラムが「ちょうど良いレベル」であったとし、また、指導先企業へのアンケートでは、97.6％が今回の指導で成果が得られたと回答がありました。これらのことから、本事業のセキュリティマネジメント指導に係る実施要領（指導ツール）が有効に機能したことが確認できました。

身近な専門家による中小企業へのセキュリティ支援ニーズが改めて確認

指導先企業へのアンケート結果では、指導先企業の63.8％が今後も専門家による一時的／定常的な指導・支援を希望しており、専門家の指導報告では、専門家が指導先企業へ有償での継続フォローを提案したところ、回答のあった企業のうち、15.7%（37社）の指導先企業から実際に依頼がありました。これらのことから、身近な専門家による中小企業へのセキュリティ支援ニーズがあることが改めて確認されました。

中小企業等の現状と課題

本事業では、以下のとおり、中小企業等における情報セキュリティ対策に係る課題も明らかになりました。

セキュリティ対策に係る人的リソース不足、コスト負担の余裕が無い

本事業では、専門家の指導・支援を継続的に希望する企業も少なからずあった一方で、指導先企業へのアンケートでは、「予算が限られているため困難」、「費用負担があるなら継続は厳しい」といった声も多く寄せられました。
また、IPAによる別調査の結果(脚注3)も踏まえれば、中小企業の情報セキュリティ対策を進めるにあたり、人的リソースは厳しい状況にあるとともに、セキュリティ投資に係るコスト負担の余裕が無いことも大きな課題となっていることがうかがえます。

1. （脚注3）
   【参考情報】 IPAが実施した「2018年度 SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査報告書」によれば、「情報セキュリティ対策の知識をもった従業員がいない」が42.7％、「業務を行うための人手が足りない状況である」が41.8％。また、「セキュリティ対策を行うための予算確保が難しい」とする企業が30.8％であった。

専門家の現状と課題

本事業では、前年度（令和元年度）に引き続き、セキュリティの専門家として登録セキスぺ（RISS）等を起用しましたが、中小企業等の情報セキュリティ対策向上に向けて、以下のとおり、登録セキスぺ（RISS）が活躍する機会を創出するための課題も明らかになりました。

コンサルティングに係るスキルアップ

本事業において、指導を行った登録セキスペ（RISS）のうち、35.0％がコンサルティング未経験者でした。今後、より多くの登録セキスペ（RISS）が、中小企業等のセキュリティマネジメント指導で活躍できるようにするためには、実際に中小企業等への指導を経験できる場への参加等により、コンサルティングに係るスキルアップを図ることが必要であると考えられます。

中小企業とのコネクション強化

本事業において、一人で20社以上の企業から事前指名を受けた登録セキスぺ（RISS）2名においては、地域の商工団体（商工会議所、商工会等）と連携し、経営セミナーでのチラシ配布、商工団体の会報やメルマガへの寄稿等、中小企業とのコネクション強化を図る活動を実践していたことが分かりました。このような日頃の活動は、登録セキスぺ（RISS）の今後の活動に対して大きな示唆となるのではないかと考えられます。

登録セキスペの知名度の向上と活躍の場の拡大

専門家（登録セキスペ）のアンケートにおいて、「資格を武器に継続的な有償サービスに繋げていくことは可能だと思う」との回答が37.3％あったものの、「難しいと思う」との回答も相当数ありました。その理由として、「中小企業側のコスト的な課題」と併せて、「登録セキスペ（RISS）の知名度や有効性が広く知られていない」とするコメントが挙げられました。登録セキスぺ（RISS）の知名度の向上と共に、継続的なビジネスとして活躍できる場を創出していくためには、伴走型支援サービス検討のための関係調査から考察した、登録セキスぺ（RISS）の活用施策案が、今後の取組みの参考となると考えられます。

報告書のダウンロード

• 成果報告書(PDF:6.2 MB)
• 成果報告書（概要版）(PDF:3.2 MB)
• 別紙1 指導要領（指導ツール）(PDF:5.8 MB)
• 別紙2 セキュリティマネジメント指導事例集(PDF:1.1 MB)