中小企業の情報セキュリティマネジメント指導業務のすすめ

Transcript

1. 中小企業の情報セキュリティマネジメント 指導業務のすすめ 2021年10月13日（水） 情報処理安全確保支援士 彌武 俊吾

2. 自己紹介 ・名前：彌武 俊吾（やたけ しゅんご） ・業務：関西電力系ISPに勤務 マネージドセキュリティサービス（セキュリティアナリスト） CSIRT ・趣味：CTF、競技プログラミング、ルービックキューブ、ポーカー ・資格：IPA中核人材育成プログラム2期卒業生(前回の基調講演2参照) 情報処理安全確保支援士、CISSP、GIAC（GCIH/GMON）など

   1

3. 情報処理安全確保支援士ってどう思います？ 2 情報処理安全確保支援士（以下、情確士）とは サイバーセキュリティ分野の国家資格 IPA（情報処理推進機構）実施の認定試験合格により登録資格取得可能 資格維持のために有料の定期講習（14万円程/3年）を継続的に受講する必要がある 士業だが独占業務は無い 資格取得するメリット あるのかな？ 検索

   レコメンド結果 情確士のメリットとして、IPAからの業務依頼（報酬あり！）がある。 ⇒副業として参加したので、内容＋体験談を紹介します！

4. 中小企業の情報セキュリティマネジメント指導業務ってなに？ 経済産業省とIPAによる、中小企業のセキュリティマネジメント能力向上を目的として 情確士などのセキュリティ専門家を、希望する中小企業に派遣し 情報セキュリティ基本方針や関連規定の整備などのセキュリティマネジメント指導を行う事業 情報処理推進機構 セキュリティ専門家 中小企業※ 公募・研修・報奨金 応募 案内

   申し込み 相談 指導 3 ※対象となる中小企業は「情報セキュリティ基本方針や関連規定が未整備」であることが応募条件

5. 中小企業とセキュリティ専門家のマッチングの仕組み 4 セキュリティ専門家 中小企業 事務局 ①マネジメント指導の申込み ①専門家募集（メール・HP）に応募 ②地域の専門家情報提供 ③専門家の指名 ④指導業務の依頼

   ⑤承諾 ⑥マッチング&指導業務（×４回） 中小企業は無料でセキュリティ専門家の指導を受けることができる。 IPAは中小企業からの報告書を確認後、セキュリティ専門家に報奨金（45,000円/回）を支払う。 令和2年度中小企業の情報セキュリティマネジメント指導業務 https://www.ipa.go.jp/security/keihatsu/sme/management/index.html

6. 指導業務のメリット 情報処理推進機構 セキュリティ専門家 中小企業 5 win! win! win! 無料で専門家に相談できる セキュリティ課題を解決に有効

   セキュリティ指導経験を積める スキルを活用し報酬を得られる 国内のサプライチェーンリスク対策 情確士の世間的評価向上 三者それぞれにとってWinWinなシステム セキュリティ専門家にとって経験を積む非常に良い機会

7. 指導業務って具体的に何をするの？ 6 指導業務の達成目標の一つは、企業の「情報セキュリティ基本方針」と関連規定を整備すること。 成果物作成のためにIPAのサンプルを活用可能。 「令和2年度中小企業の情報セキュリティマネジメント指導業務」報告書 https://www.ipa.go.jp/files/000091422.pdf 指導業務外の内容 別料金での継続フォロー 提案が推奨されている。 サポートのためツールが

   IPAによってあらかじめ 豊富に用意されている。

8. セキュリティ専門家（指導業務応募者）向け指導講習会 指導業務に応募したセキュリティ専門家は、事前に計6時間の指導講習会をオンラインで受講する。 7 指導講習会プログラム 内容 具体的支援の進め方 指導業務の全体構成と留意事項 事業の位置づけ（狙い） 達成目標と訪問指導の流れ 指導業務（全4回）の構成と具体的内容

   企業訪問にあたっての基本的な留意事項 指導業務のためのツールの活用方法 各ツールの紹介 教育用映像コンテンツの活用方法 効果的な訪問指導 指導に当たっての心構え 日本の中小企業の現状 経営者とのコミュニケーションの心構え 前年度の訪問指導の紹介 前年度の事例紹介など コロナ禍のセキュリティ対策 テレワーク導入時のセキュリティの注意点 オンライン会議を活用した指導に関する留意点 事業の運営 各種手続き 企業と専門家のマッチング方法 各種手続きの進め方 事業全体のスケジュール 謝金支払いに関する手続きについて

9. 指導業務のためのツールの例 8 5分でできるセキュリティ自己診断 中小企業の情報セキュリ ティ対策ガイドライン より https://www.ipa.go.jp/secur ity/keihatsu/sme/guideline/ index.html 情報セキュリティの基本方針（サンプル）

10. 指導業務 成果物の例 9 IPA「中小企業の情報セキュリティ対策ガイドライン」付録5 https://www.ipa.go.jp/security/keihatsu/sme/guideline/ 作成資料の一例：情報セキュリティ関連規定 （左はIPAの公開しているサンプル） 中小企業が必要とするセキュリティ対策が網羅されている。 標準カリキュラムでは、お客さまにて作成となっていたが、 お客さまのご依頼によりこちらでカスタマイズした。

    お客さま事情に合わせてカスタマイズが必要。 （システム開発業務を行っていないので削除、 IT運用基盤は外だしのため緊急連絡フロー中心、など）

11. 実際のマネジメント指導のすすめ方（標準カリキュラム） IPA事務局が用意した標準カリキュラムをもとに、中小企業の担当者にヒアリングして全四回の情報 セキュリティマネジメント指導の進め方を決定する。必要に応じてWeb会議も取り入れる。 10 標準カリキュラム タイムスケジュール・訪問前の準備など 第 一 回 指導先企業の事業内容や情報システム環境の理解

    経営者の認識している情報セキュリティ課題と、 マネジメント指導への期待値のヒアリング 訪問調整の１～２週間後 その間に情報セキュリティ自己診断実施依頼や 指導先企業の情報収集を実施 第 二 回 情報セキュリティ基本方針や関連規定整備の検討 情報セキュリティ課題と対策の特定・絞り込み 第一回の２～３週間後 既存の規定類があれば確認・なければ案の作成 そのほか、対策案の準備など 第 三 回 コロナ禍の情報セキュリティ対策に関するアドバイス 情報セキュリティ課題の優先度付け、対策検討 第二回の１～２週間後 リモートワーク施策等に伴うセキュリティリスク分析 セキュリティ課題の分析 第 四 回 情報セキュリティ対策実行計画（一年程度）の合意形成 訪問指導全体のまとめ （推奨項目）継続的なマネジメント指導契約の提案 第三回の１～２週間後 セキュリティ対策実行計画案の作成 成果物のとりまとめ 実際は指導先企業の状況・希望に合わせてカスタマイズする。

12. 指導業務の振り返り 11 非常に良い関係で業務を終えることができた。 継続的なセキュリティ指導は希望されなかったが、その後も連絡を取っている。 （SNSのなりすましアカウントの相談などに対応） ぼく 中小企業 衣料メーカー 創業50年以上、従業員数80人 国内3拠点（内2拠点は工場）

    ・指名理由は企業名を公開してい て安心できそうだったから。 ・Emotet被害で取引先に迷惑をか けて困っていた。 ・（後日）SNSのなりすましについて も相談できて助かった。 ・普段の業務では得られない貴重な 経験が得られた。 ・（甲乙じゃないからか）仕事が無茶 苦茶進めやすかった。 ・後日の相談もウエルカム（もともとイ ンシデント対応が好き） ・副業報酬ありがたいです。 ・自社や家族からの評価も上々（あり がたい） 申し込んでよかった！ 参加してよかった！

13. 令和2年の指導業務 申込み中小企業の数と府県別分布 12 「令和2年度中小企業の情報セキュリティマネジメント指導業務」報告書 https://www.ipa.go.jp/files/000091422.pdf

14. 【余談】一人で20社指導した専門家のノウハウ集が面白い 13 「令和2年度中小企業の情報セキュリティマネジメント指導業務」報告書 https://www.ipa.go.jp/files/000091422.pdf ポイント１．告知活動 ・地域の商工会議所や中小企業家同友会、ビジネス交流会や勉強会等で指導業務事業の紹介を実施する。 ・チラシやメルマガの配布協力依頼を実施する。 ・SNSでの事業告知（月に3回ほど）を行う。 ポイント２．訪問説明 ・要望のあった取引先パートナーなどに訪問説明を実施する。

    ・その際、事業者のメリットや負担、前年度の実績などを紹介する。 ポイント３．中小企業の参加促進に向けた攻めの一押し ・情報セキュリティ対策の重要性を印象付けるキラーワードを用意しておく。 ・事前に訪問する事業者の経営理念、事業内容等を把握し、相手の気持ちに寄り添って質問をする。 ・業界全体の課題などは、知ったかぶりをせずにダイレクトに質問をする。 ポイント４．その他、留意事項 ・専門家自身が利害関係のない第三者であることを伝える。 ・事業のアウトプットなど、目に見えるものを提示する。 ・申し込み手順の具体的な流れを説明し、サポートする。 中小企業からの指名獲得ノウハウ（「令和2年度中小企業の情報セキュリティマネジメント指導業務」報告書より抜粋）

15. まとめ 14 今回の指導業務をとおして ・自分のスキルをもとに社会貢献できる達成感 ・情報セキュリティマネジメント指導業務の経験 ・情確士に対する社会ニーズの実感 ・副業収入 を得ることができました。 IPAは今後も情確士を活躍させようと計画していると思います。 情確士資格を取得して、技術を社会貢献に活用していきましょう！

16. 参考資料 15 令和2年度中小企業の情報セキュリティマネジメント指導業務 https://www.ipa.go.jp/security/keihatsu/sme/management/index.html 「令和2年度中小企業の情報セキュリティマネジメント指導業務」報告書について https://www.ipa.go.jp/security/fy2020/reports/sme/management.html https://www.ipa.go.jp/files/000091422.pdf 令和2年度中小企業の情報セキュリティマネジメント指導業務(専門家募集ページ) https://www.ipa.go.jp/security/keihatsu/sme/management/supporter.html 中小企業の情報セキュリティ対策ガイドライン

    https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html SECURITY ACTION 中小企業のためのセキュリティ自己宣言 https://www.ipa.go.jp/security/security-action/index.html