ICT整備は進むもセキュリティ対策は…

 
冒頭にあるようなニューノーマルな状況下で、ICTの環境整備が優先されるなか、独立行政法人情報処理推進機構（IPA）は「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」の最終報告を公開しました。
 
この実態調査の結果、次のような傾向が判明しています。
 
1．会社が許可していないアプリケーションやサービスの業務利用を一時的に「やむを得ず」認め、現在も認めている組織がある
2．半分以上の委託元がテレワークに関する社内規定・規則・手順の遵守確認を実施していない
3．ニューノーマルに対応した業務委託契約は進んでいない
 
以上の傾向から、セキュリティに問題がある事象が放置されている恐れがあり、遵守確認不備による内部不正やセキュリティインシデントが増加する恐れもあります。また委託先との意識のギャップも目立つことから、ニューノーマルに合わせた情報セキュリティ上の業務委託契約も疎かになっている可能性もあります。
 
今後もテレワーク中心または、出社と在宅の両立が必要となる働き方が想定されます。こうした新しい業務環境における委託契約を締結するにあたっては、委託先と委託元間でしっかり話し合っておくことが重要です。
 
『ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査』
（出典：2021年4月7日　情報処理推進機構より）
 

サイバーセキュリティお助け隊

 
前述のような企業のセキュリティ対策が後手にまわる状況のなか、その対策を担うサービスを選ぶ基準に頭を悩ませていることも少なくないかと思います。そんななか、同じく独立行政法人情報処理推進機構（IPA）は、中小企業のセキュリティー対策を支援する「サイバーセキュリティお助け隊サービス」を開始したと発表しました。
 
これは、中小企業が使いやすいようワンパッケージかつ安価であるなどの民間が提供するセキュリティー対策支援サービスを審査して登録するもの。審査項目は「相談窓口」「異常監視の仕組み」「緊急時の対応支援」「導入・運用の簡単さ」「価格」などで、登録されると「サイバーセキュリティお助け隊マーク」を利用できるほか、経団連など170会員が参加する「サプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）」を通じた普及促進の対象となります。
 
審査の結果、基準を満たした次の5サービスを登録しています。
 
・商工会議所サイバーセキュリティお助け隊サービス（大阪商工会議所）
・防検サイバー（MS＆ADインターリスク総研株式会社）
・PCセキュリティみまもりパック（株式会社PFU）
・EDR運用監視サービス「ミハルとマモル」（株式会社デジタルハーツ）
・SOMPO SHERIFF【標準プラン】（SOMPOリスクマネジメント株式会社）
 
IPAでは今後も基準に合致したセキュリティー支援サービスを「サイバーセキュリティお助け隊サービス」としてブランド化して普及させることで普及を促進し、幅広い中小企業において無理なくサイバーセキュリティ対策を導入・運用することを支援していくとしています。
 
様々なサイバー攻撃が繰り返される昨今、大手・中小にかかわらずいつサイバー攻撃の被害に遭うかもしれません。こうした基準が設けられることで支援サービスが受けやすくなり、少しでもリスクを減らすことができるでしょう。
 
『サイバーセキュリティお助け隊サービス』
（出典：2021年4月15日　情報処理推進機構より）
 
＊＊＊＊＊＊＊＊＊