「ASM診断および事例集作成業務」報告書について

背景・目的

近年、サプライチェーンを構成する中小企業がサイバー攻撃の標的となる事例が増加しています。サイバーインシデントの被害は、攻撃を受けた企業にとどまらず、取引先企業にまで影響が及ぶ場合もあり、攻撃の高度化は中小企業にとっても重大な経営上のリスクとなっています。

一方で、中小企業においては、リソースが限られていることに加えて、何から着手すべきか分からないことを要因として、セキュリティ対策が十分に進んでいない状況も見受けられます。

このような背景を踏まえ、本業務はASM（Attack Surface Management）（注釈1）ツールを活用してIT資産や脆弱性を客観的に把握することにより、リスク低減に向けた対策を促進すること、中小企業のセキュリティ意識向上を図ることを目的に実施しました。

1. （注釈1）
   ASM：インターネットから把握できる情報を用いてIT資産の適切な管理を可能とするツールやサービスを活用して、インターネットに公開されているサーバやネットワーク機器、IoT機器の公開情報を収集・分析することにより、不正侵入経路となり得るポイントを把握する手法。

業務概要

本業務では、複数業界・複数規模の中小企業を対象に、ASM診断を実施するとともにアンケート調査およびヒアリング調査を行い、業種別の傾向等を分析しました。また、中小企業のシステムにおいて脆弱性が悪用された場合の被害を想定し、診断結果に基づく実際の対応状況を踏まえて、攻撃シナリオおよび実施すべき対策をまとめた事例集を作成しました。

ASM診断

• 126社の中小企業を対象に実施。診断の結果、全社において何らかの脆弱性を検知。
• 診断レポートには、リスクスコア、想定被害額、リスクレベル別の検出数、インターネット上に流出しているデータ等を掲載。

アンケート調査

• ASM診断を実施した126社を対象に、Webアンケート形式で実施。
• 設問は全16問で、選択式が中心。

ヒアリング調査

• アンケート結果等から選定した10社を対象に実施。
• 主に、意思決定プロセスや対策実施時の課題、インシデントの実態、伝えたい経験や工夫等について調査。
  

事例集について

ASM診断、アンケート調査およびヒアリング調査を実施して得られた結果をもとに、脆弱性事例（20事例）、被害事例（5事例）、取組事例（5事例）に分類、計30事例を収録。

中小企業が直面しやすい弱点、被害の影響、早期に取り組める対策を実例に基づきわかりやすく整理し、以下のようなさまざまな場面での活用を想定して構成。

• 対策のアイデアを工夫する場面で活用する事例：他社事例を参考に、自社で実践できるセキュリティ対策を検討する際に活用（例：自社に近い規模の企業が実践した改善策の確認として“取組事例”を活用）。
• 社内でインシデントの被害リスクを説明する場面で活用する事例：社内教育や勉強会で、被害の実態と必要な対策を伝える際に活用（例：社員向けセキュリティ研修の教材として“脆弱性事例”と”被害事例”を活用）。
• 今すぐできるセキュリティ対策を確認する場面で活用する事例：初期的に取り組める対策を把握し、第一歩を踏み出す際に活用（例：今日から着手できる設定変更や運用ルールの見直しとして”すぐできる対策”を活用）。
• 経営層に対してセキュリティ対策の提案をする場面で活用する事例：経営層との相談や予算確保のための説明材料として活用（例：リスクと費用対効果を説明する際の根拠資料として”被害事例”を活用）。

報告書等のダウンロード

• 実施報告書(PDF:2.2 MB)
• 実施報告書概要版(PDF:940 KB)
• 別紙 中小企業のための実例で学ぶサイバーセキュリティリスク事例集(PDF:3.2 MB)