「サイバーセキュリティお助け隊サービス」制度に関するFAQ

最終更新日：2024年4月1日

独立行政法人情報処理推進機構
セキュリティセンター企画部
中小企業支援グループ

「サイバーセキュリティお助け隊サービス」制度に関し、よくあるご質問とその回答を纏めました。
いずれも基準適合性については審査登録機関の判断を予断するものではありませんが、ご参考ください。

1．監視機器・機能に関するご質問

Q1サービス基準でいう「UTM”等”」、「EDR”等”」とは具体的に何が含まれますか？

A1

これらの機能を有するものであれば、必ずしもUTMやEDRに限定をしてはいないことを意味しており、包括的に異常を監視できる機能があることが求められるものです。申請の際に、どのような機能を果たすものか記載した資料をご提出ください。

Q1緊急時の対応（駆付け・技術者の派遣）支援は、リモート対応ができればいいですか？

A1

具体的にはユーザーと合意したサービス規約に基づき実施いただくことになりますが、リモートによる対応支援だけでは足りず、ユーザーから要請された場合にユーザーの指定する場所に技術者を派遣する（駆付け）体制の構築は求められる点にご留意ください。

Q1簡易サイバー保険では具体的にどこまでカバーされる必要がありますか？

A1

サービス基準上は、インシデント対応時に発生する各種コストとして、＜初動対応（駆付け支援等）の費用を補償＞するものであること、とされています。場合によってはユーザーの自己負担が生じる場合もあり得ると思われますが、どのような場合に、どのような範囲でユーザーに自己負担が生じるかを分かりやすくご説明いただくことが求められます。
Q2初動対応（駆付け支援等）の部分を保険会社ではなく、自社のサービスの中で提供できれば、保険を付帯しなくてもいいですか？

A2

簡易サイバー保険の付帯は必須要件であり、初動対応の費用を保険の補償の対象としていただくことが求められます。また、簡易サイバー保険は、保険業法で大別される損害保険であることが求められます。
Q3申請時点で簡易サイバー保険の付帯が間に合わなくても、その見込みを示すことがでれば許容されますか？

A3

必ずしも申請時点において、サービスが実際に提供（サービスイン）されている必要まではありませんが、申請に際しては、基準適合性を示すためにその付帯を裏付ける資料等が求められます。

Q1具体的にどのような実績が求められますか？

A1

サービス基準解釈等に関するガイダンスにも記載のとおり、サイバーセキュリティお助け隊サービスと類似のサービスを30社以上の中小企業に提供・運用した、製品のみならず運用サポート等も合わせて提供した、といった実績が一つの目安とされています。したがって、製品のみを数百社以上の中小企業に提供した実績があっても、それだけをもって本要件を充足することにはならないことにご留意ください。実績の有無については、申請の際に提供される情報から審査登録機関において総合的に勘案の上、判断されることになります。
Q2チームを組むパートナー事業者の実績で申請することができますか？

A2

実施主体（申請者）を中心に、チームとしてお助け隊サービスの継続・安定的な提供の可否が確認されることになりますので、パートナー事業者の実績もあわせて参酌され得るものと考えられます。申請の際に可能な範囲でご説明いただき、必要な資料があればご提出ください。

Q11事業者で複数のサービスを登録することはできますか？

A1

お助け隊サービスは事業者ではなくサービスを登録するものですので、要件を充足するものであれば1事業者で複数のサービスを登録することは可能です。

Q1販売機能を持たない事業者でも、実施主体になれますか？

A1

サービス基準上、実施主体とは、「お助け隊サービスに関する契約を中小企業と行う事業者であり、お助け隊サービス審査登録機関への申請等を行う者をいう」と定められている通り、販売機能を持たない事業者、つまり中小企業とお助け隊サービスに関する契約を締結しない事業者は、サイバーセキュリティお助け隊サービス基準に関する適合性の審査・登録を申請する実施主体となりません。

IPA セキュリティセンター
担当者：佐藤（み）/ 滝沢