IPA 「セキュリティ人材活用促進実証に係る業務」報告書を公表

「令和6年度セキュリティ人材活用促進実証に係る業務」報告書について

サプライチェーンを狙ったサイバー攻撃は年々巧妙化しており、第一次ターゲットとなる中小企業から取引先の大企業や公共インフラへと被害が波及する事例が相次いでいる。攻撃者は、防御体制が脆弱で専任人材も不足しがちな中小企業を踏み台に機密情報や事業継続に不可欠なシステムを狙うことで、「規模を超えた経済的損失」を引き起こすリスクを高めている。この状況を受け、独立行政法人情報処理推進機構（IPA）は、費用対効果の高い対策提示と信頼できるセキュリティ専門家とのマッチング機会を一体化した実証事業を立ち上げた。事業は「支援機関との連携強化」と「登録セキュリティプレゼンター（登録セキスペ）の活用促進」を柱とし、中小企業が実践的な支援を受けられる仕組みを検証した。

実証事業の概要

事業期間は 2024 年 8 月 20 日～2025 年 3 月 5 日。対象となる登録セキスペは約800名で、IPA セキュリティプレゼンターにも登録済みの国家資格保持者である。実証は次の三本柱で構成された。

1. サイバーセキュリティ相談会（3 地域6 回）
   • 大阪・名古屋・埼玉の商工会議所と共催し、各会議所で2回ずつ実施。
   • 参加企業は105社、講演後の個別相談へ進んだ企業は55社であった。
2. セキュリティマネジメント指導（訪問型）
   • 相談会で把握した課題を踏まえ、登録セキスペが企業を訪問。
   • 訪問対象34社に対して延べ100回実施し、1社当たり最大3回のフォローを行った。
3. アクティブリスト試作
   • 登録セキスペを対象に業務領域・支援形態などを調査し、情報公開に同意した203名を「アクティブリスト」として整備。中小企業が専門家を検索しやすい構造とした。

セキュリティマネジメント指導の中身

訪問指導では『中小企業の情報セキュリティ対策ガイドライン』を基盤に、次の五つのテーマで専用ツールを作成した。

• 情報セキュリティ規程の整備
• 情報資産の洗い出しとリスク分析
• クラウドサービスの安全利用
• セキュリティインシデント対応
• 従業員向けセキュリティ教育

各ツールには実施要領やワークシートを付属し、専門家間で指導内容を標準化できるよう配慮した。

成果と今後の課題

実証により、「相談会 → 個別相談 → 訪問指導」という段階的支援モデルが有効であることが示された。ベストプラクティスとして取りまとめた7件の事例は、同業他社が参考にできる形式で公開されている。一方で、アクティブリストの継続運用や掲載者拡充、ビジネスベースでのマッチング促進など、持続的な改善が必要と指摘された。

報告書ダウンロード案内

IPA のウェブサイトでは、実施報告書（PDF 4.8 MB）と概要版（PDF 2.5 MB）に加え、指導ツールや事例集、アクティブリストなどの別紙資料を公開している。関心のある中小企業や支援機関は、所定の問い合わせ窓口からワークシートを含むツールセットを入手できる。

• 実施報告書(PDF:4.8 MB)
• 実施報告書概要版(PDF:2.5 MB)
• 別紙1-1 指導ツール(1) 情報セキュリティ規程の整備(PDF:1.7 MB)
• 別紙1-2 指導ツール(2) 情報資産の洗い出しとリスク分析(PDF:2.1 MB)
• 別紙1-3 指導ツール(3) クラウドサービスの安全利用(PDF:2.2 MB)
• 別紙1-4 指導ツール(4) セキュリティインシデント対応(PDF:1.9 MB)
• 別紙1-5 指導ツール(5) 従業員向け情報セキュリティ教育(PDF:1.7 MB)
• 別紙2 セキュリティマネジメント指導事例集(PDF:729 KB)
• 別紙3 セキュリティ専門家リスト（アクティブリスト試作版）(PDF:904 KB)
• 別紙4-1 サイバーセキュリティ相談会参加者アンケート結果 (PDF:920 KB)
• 別紙4-2 マネジメント指導アンケート結果（指導先企業、指導専門家）(PDF:1.8 MB)
• 別紙4-3 セキュリティ専門家スキルアンケート結果(PDF:726 KB)

出典：IPA　「令和6年度セキュリティ人材活用促進実証に係る業務」報告書について