「令和6年度セキュリティ人材活用促進実証に係る業務」報告書について

事業概要

情報セキュリティ対策が強固とはいえない中小企業を対象としたサイバー攻撃や、それに起因する取引先の大企業等の被害も顕在化しており、サプライチェーン単位での攻撃が増加する中、必要十分なセキュリティ対策を実施できない企業が狙われることで大きな経済的損失をもたらすおそれがあります。そのため、予算や人材が不足している中小企業において効果的なセキュリティ対策を実践できるよう、規模等に応じたセキュリティ対策を提示するとともに、対策の実践に当たって必要となるセキュリティ人材の確保やサービス支援策の強化が求められています。

このような背景のもと、IPAは専門家のさらなる活用促進を図るため、中小企業とセキュリティ人材とのマッチングを促す場を構築する実証を実施しました。具体的には、業界団体や商工会議所等の経済団体等（以下、支援機関）と連携して、情報処理安全確保支援士(注釈1)でかつIPAセキュリティプレゼンター（注釈2）の登録者をセキュリティ専門家として起用し、サイバーセキュリティ相談会の開催、セキュリティマネジメント指導（テーマ別）の実施、及び登録セキスペが実施可能な業務やスキル等に関するアンケートを実施しました。これらの実証を通じて、支援機関のセキュリティ対策に係る課題ニーズの把握と、中小企業がセキュリティ専門家を探索しやすくするための、登録セキスペが実施可能な業務やスキル等を見える化した人材プールリスト（以下、アクティブリスト）の整備について、検討を行いました。

1. （注釈1）
   情報処理安全確保支援士とは サイバーセキュリティ分野の国家資格で、資格者は政府機関や企業等における情報セキュリティ確保を支援します。 詳細は、国家資格「情報処理安全確保支援士（登録セキスペ）」のウェブサイトをご参照ください。

   • 国家資格「情報処理安全確保支援士（登録セキスペ）」とは
2. （注釈2）
   セキュリティプレゼンター制度について

事業実施期間：2024年8月20日～2025年3月5日

実施概要

サイバーセキュリティ相談会

大阪・名古屋・埼玉の3商工会議所と連携し、各会議所にて2回、計6回のサイバーセキュリティ相談会を開催しました。105社が参加し、セミナー講演後の登録セキスペによる個別相談には55社が臨みました。

• （参考）サイバーセキュリティ相談会の概要
  • サイバーセキュリティ相談会・マネジメント指導

セキュリティマネジメント指導（テーマ別）

本事業では、登録セキスペによる訪問指導（マネジメント指導）は1社あたり3回で設定しました。
個別相談でヒアリングした企業の希望内容・日程と業種・規模・所在地といった属性等から、対応可能な専門家の候補者を事務局にて選出（マッチング）した結果、マネジメント指導を受けた企業は34社（計100回）となりました。

指導要領（指導ツール）の作成

今回設定したマネジメント指導のテーマは、業種を問わない基本的なセキュリティ対策として、IPAの「中小企業の情報セキュリティ対策ガイドライン(注釈3)」を主とする、中小企業向けコンテンツを活用した指導ツール5種(注釈4)を整備しました。

1. （注釈3）
   中小企業の情報セキュリティ対策ガイドライン
2. （注釈4）
   指導ツール5種

   • テーマ(1)：情報セキュリティ規程の整備
   • テーマ(2)：情報資産の洗い出しとリスク分析
   • テーマ(3)：クラウドサービスの安全利用
   • テーマ(4)：セキュリティインシデント対応
   • テーマ(5)：従業員向け情報セキュリティ教育

事例集について

マネジメント指導の成果が得られた7件を事例集として取りまとめました。掲載企業の取組みや業界動向等ビジネス環境をふまえ、企業が情報セキュリティ対策において感じていた課題と専門家による指導のポイントや得られた成果について掲載しています。

セキュリティ専門家リスト（アクティブリスト試作版）の作成

セキュリティ対策に関する相談やマネジメント指導等が可能なセキュリティ専門家に関する情報を提供するため、IPAセキュリティプレゼンターのうち登録セキスペとしても登録のある約800名を対象に、支援可能な条件や対象範囲等に関するアンケートを行いました。
その結果、情報公開可と回答いただいた方（203名）についてリスト化しました。

本事業のまとめ

本事業では、以下の成果と課題を得ることができました。

• 本事業では、中小企業等と登録セキスペのマッチングを促す場として、商工会議所との共催によるサイバーセキュリティ相談会（3地域6回）を開催し、個別相談を経て希望する企業に対して、登録セキスペによるセキュリティマネジメント指導（訪問指導）を実施、参考になる指導事例をベストプラクティスとして取りまとめました。

• セキュリティマネジメント指導の実施に際し、中小企業セキュリティ対策ガイドライン（付録を含む）を活用した5つの指導テーマを設定し、各テーマについて指導ツール（実施要領及びワークシート等）を整備しました。
  • （補足）本報告では指導ツールのうち実施要領を公開しています。今回アクティブリスト試作版に掲載させていただいた方のうち、ご希望の方にはワークシート等を含むセットの入手方法をご案内しますので、［お問い合わせ先］からご連絡ください。

• 登録セキスペが提供可能な業務やスキル等を可視化するため、セキュリティ専門家スキル調査アンケートを実施し、中小企業とセキュリティ専門家とのマッチング実証の結果も含めて、中小企業のセキュリティ支援が実施可能な登録セキスペのアクティブリストを試作しました。

• 今後は、セキュリティ専門家リストとして、運用を含めたリストの整備及びリスト掲載者の拡充、中小企業支援機関等との連携を中心としたリストの活用促進によるビジネスベースのマッチングが望まれます。
  • （補足）本報告で公開する「セキュリティ専門家リスト（アクティブリスト試作版）」は、本事業の実施結果に基づく試作版になります。今後、リストの整備を進めて行きますので、お気づきの点等がありましたら［お問い合わせ先］からご連絡ください。

報告書のダウンロード

• 実施報告書(PDF:4.8 MB)
• 実施報告書概要版(PDF:2.5 MB)
• 別紙1-1 指導ツール(1) 情報セキュリティ規程の整備(PDF:1.7 MB)
• 別紙1-2 指導ツール(2) 情報資産の洗い出しとリスク分析(PDF:2.1 MB)
• 別紙1-3 指導ツール(3) クラウドサービスの安全利用(PDF:2.2 MB)
• 別紙1-4 指導ツール(4) セキュリティインシデント対応(PDF:1.9 MB)
• 別紙1-5 指導ツール(5) 従業員向け情報セキュリティ教育(PDF:1.7 MB)
• 別紙2 セキュリティマネジメント指導事例集(PDF:729 KB)
• 別紙3 セキュリティ専門家リスト（アクティブリスト試作版）(PDF:904 KB)
• 別紙4-1 サイバーセキュリティ相談会参加者アンケート結果 (PDF:920 KB)
• 別紙4-2 マネジメント指導アンケート結果（指導先企業、指導専門家）(PDF:1.8 MB)
• 別紙4-3 セキュリティ専門家スキルアンケート結果(PDF:726 KB)