「仕事でお客様のシステム環境などを拝見すると、必要もないようなセキュリティ製品があったり、あまり意味がなさそうなセキュリティサービスを契約している場面に出会うことがあります」そんな話を、少し前にとある人物へのインタビューで余談として聞いた。誤って導入したものではなく、結構名の知れた大手にすすめられてそのいわば「不要品」を買わされているのだという。「何も言わずに去らざるを得ないが忸怩たる思いが残った」と語っていた。
戦慄すべきひどい話である。取材協力してくれる会社が見つかれば詳しく調べていつか書きたいと思っていることは言うまでもない。
セキュリティ企業やシステムインテグレータは事業会社であるからして、当然利益や株価はとても大事で、一人一人に厳しいノルマもあろうし、人権侵害そのもののような職場環境もあるかもしれない。警察官に「警察法」、医者に「医師法」、建築家に「建築基準法」はあるが、しかしセキュリティ企業やセキュリティコンサルタントに「サイバーセキュリティ従事者法」などという法律があるわけでもないのだから要は何があっても「法には触れていない」問い詰めたらそう開き直るのかもしれないが、しかしそんなひどい世界をお前らは作りたいのか。よりによってセキュリティという仕事に就いて。
●一定の対策水準にある東京都内の中小企業が対象
そんなふうにいつものように腹を立て激昂していたさわやかな初夏のある日、必要でもない製品やサービスを詐欺的に売りつけられてしまう心配が存在しないサービスを発見した。
その名は「令和 6 年度 中小企業サイバーセキュリティ特別支援事業」である。営利企業ではなく東京都が実施する試みだ。
これは、ファイアウォールや IDS / IPS、WAF などの境界防御や、エンドポイントの EDR など、一定のセキュリティ対策レベルに既にある東京都内の中小企業を対象に、「CSIRT 構築」または「IT-BCP 策定」のいずれかの支援を、3 ヶ月から 4 ヶ月かけて丁寧に実施してもらうために、定期的に都が企業へ専門家派遣を行う事業で、参加企業にはコスト負担が一切ないのが最大の特長である。
CSIRT 構築にせよ IT-BCP 策定にせよ、大手町や平河町のセキュリティ大手に依頼しようものなら 1,000 万円から 2,000万円の見積が挙がってくる可能性が十二分にある。グローバルファームに相談などしたらさらに金額は膨れ上がる。それが、人を出して時間を割く必要はあるものの、完全無料で支援を受けることができるのだ。
今回編集部は、この「東京都 令和 6 年度 中小企業サイバーセキュリティ特別支援事業」について取材し、参加要件を満たすなら検討に値するサービスであるという印象を強くした。
●ゴールまで併走してくれる相棒
参加企業は CSIRT 構築あるいは IT-BCP 策定のいずれかのコースを選び、それぞれヒアリングによる現状分析にはじまり、体制整備を経て、インシデント対応の机上演習一回を実施、全部で 6 回にわたって専門家が定期的に企業を訪問し、議論や相談に応じる。
自分のことは自分が一番よく知っている。だから CSIRT 構築や BCP 策定を進める主体とは、あくまで参加企業自身である。だから支援のために訪問してくれる専門家は、おんぶして目的地に連れて行ってくれる人などではなく、体制構築や計画策定のゴールまで「並走してくれる相棒」と考えるのが、この事業の正しいイメージであろう。
したがって、大手町や平河町の大手に発注して、先々何かあったときの責任回避の保険を打っておきたい姑息なサラリーマン根性を持つ担当者や企業にはこの事業は向いていない。また「 D 」とか「 P 」とか「 K 」などの名が付くグローバルファームに大枚はたいて、見映えのいい仕上りの納品物を受け取ることで、自分が CSO 在任時代の実績の急拵え(きゅうごしらえ)を行いたい野心的な取締役がセキュリティを管掌しているような会社にもこの事業は向かない。
●セキュリティの運用の厄介さを知る企業なら
この事業に向いている参加企業とは、どんな立派な専門家の手を借りたとしても、所詮 CSIRT 運用や BCP 策定等の最も重要な部分は、当事者であるユーザー企業自身にしか判断を下せないものであり、セキュリティとは多かれ少なかれ、煩雑でときに痛みを伴う運用プロセスそのもののことであることを理解している企業や担当者だろう。
だからこれを読んでいるあなたが、東京都の中小企業に勤めていたり、あるいは経営していたりして、もし CSIRT や BCP にきちんと手をつけようとちょうど思っていたところなら「東京都 令和 6 年度 中小企業サイバーセキュリティ特別支援事業」はとても良いきっかけになるかもしれない。
セキュリティ体制構築等の経験豊富な、伴走者にしてメンターが会社を3 ~ 4 ヶ月間、定期的に訪れてくれるのだから、一定期間適度に社内に刺激を与えてくれるだろうし、あなたがセキュリティ担当者として頑張って守ってきた安全対策という基礎を広げたり強くするためのきっかけとなる効果は間違いなくあるだろう。
では以下に資料を引用しながら「資格要件」「ヒアリング」「インシデントレスポンス体制整備」「インシデント対応演習」の順に要点をかいつまんで紹介していこう。
「令和 6 年度中小企業サイバーセキュリティ特別支援事業」事業目的と概要。実施する都としてはサプライチェーンリスクが念頭にあることがわかる。実施企業にとっては被害から復旧までの時間短縮等のレジリエンス強化などのメリットがあるだろう。
ちなみに警察庁が 2024 年に公表した「令和 5 年におけるサイバー空間をめぐる脅威の情勢等について」p 26 の「図表 26:復旧に要した時間」によれば、136 件のランサムウェアによる被害のうち、復旧までに要した期間をみると、
・ 即時から 1 週間未満: 24 %
・ 1 週間以上 1 ヶ月未満:32 %
・ 1 ヶ月以上 2 ヶ月未満: 16 %
・ 2 ヶ月以上:4 %
・ 復旧中(編集部註:「=復旧できていない」) 24 %
と、同じランサムウェア被害でも、組織ごとに「その後」や「末路」がそれぞれ大きく異なっている。ごくごく粗くいえばレジリエンス強化とは、現在そうではない企業が、この「即時から 1 週間未満組」の方に入ろうとせんとする試みである。
ちなみに上限 40 社だが取材の感触ではガラガラとまでは言わないまでも充分過ぎる余裕があるという印象を受けた。
細かい応募規定。必ず事前に確認のこと。
こちらも確認。
こちらが支援内容。どちらかを選ぶ。
CSIRT構築もBCP策定も同じくこの3段階のプロセスで進行する。
専門家の訪問回数は 3 ヶ月で計 6 回。平均すると毎週ではなく、隔週で月 2 回程度の訪問があることになるので、諸準備等の時間はある程度とれるだろう。
CSIRT構築支援の場合のヒアリング項目。
社内全領域、各部門を横断する対応や調査が当然だが必要になる。
BCP策定支援の場合のヒアリング項目。
CSIRT構築のための基本チェックリストの一部。NCA(一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会)のドキュメントを参照している。
CSIRT 基本文書一覧。こちらは JPCERT/CC のドキュメントを参照。
最終段階で実施する机上演習のシナリオ一覧。
これはCSIRT構築の場合。効果的な演習が組織に合わせて選定される。
これはBCP策定の場合の机上演習のシナリオ一覧。
ランサムウェア被害や停止など、事業継続性が大きく損なわれる事象が選ばれている。
机上演習の流れ。
机上演習実施時の確認観点一覧。
「令和 6 年度中小企業サイバーセキュリティ特別支援事業」参加専門家一覧。氏名は非公開。CEH や CSSSP などの難易度が高く維持にも手間暇かかる有資格者も在籍している。ただし専門家は選べない。
応募〆切は 7 月 3 日 (水) だが、開始は各社の事情に合わせて後ろ倒しにすることも可能。
オンラインによる面談も可能。
終了後に参加企業との横の繋がりを作る機会もある。これが機能するならとても素晴らしい。
●倍率「多分」低し
何度も言うが、上限 40 社ではあるが取材時の感触では、ガラガラとまでは言わないまでも、充分過ぎる余裕があるという印象を受けた。正直な話、中小企業の 99 %は、たとえ毎月 10 万円 都から助成金をもらえるとしても「令和 6 年度中小企業サイバーセキュリティ特別支援事業」になど断じて参加したくないだろう。
その理由は、こんな面倒で新規の売上を生み出すでもない無駄な活動に、貴重な時間と人を割いてやりたくなどないし、セキュリティ被害や事故に遭うまでその必要性はまず理解できないからだ。そして「自分だけは絶対に攻撃や事故に遭わない」と愚直に信じるくらいのハートの強さがなければそもそも中小企業経営者などつとまらない。
つまりこういうことになる。こうした CSIRT 構築や BCP 対策の必要性を知る企業はすでに、NCA が提供しているドキュメント等を参照したりして自身で対応を進めていたり済ませている。一方で本当にこの支援が必要な人は自分は東京都で一番の強運の持ち主だから被害になど絶対に遭わないと信じて聞く耳を持たない。こういうパラドックス的な構造を持つ事業は実はセキュリティ事業としては優れているものが多い。少なくとも良心的に設計されていることは間違いはない。
なお、申込時に提出する参加同意書も掲載しておく。
●高い卒業生の満足度
実は東京都はサイバーセキュリティ支援事業を複数実施している。「1.普及啓発」「2.機器規定整備」「3.社内体制整備」の三つが存在し、四番目の事業がこの「4.インシデント対応力強化事業」である。ちなみに四事業とも都ドメインのサブドメインとして管理しており、一個一個個別にドメインを取得するような、馬鹿げているばかりか将来のリスクにもなる運用をしていない点は好感が持てる。
「3.社内体制整備」に関しては、都の支援事業に参加したことで、どのように課題解決を図れたかを個社毎に紹介する詳細な事例集も公開されており、本事業が都にとってのアリバイ作り等ではなく、たとえ最終的には法人税を払わせたいだけにせよ、都内の中小企業の未来を守るために継続性のあるまじめな取り組みにしようとしていることがうかがえる。
都の複数のサイバーセキュリティ対策支援事業を利用し、まず「2.機器規定整備」で UTM や EDR 等を導入して、次に「3.社内体制整備」で担当ポストを正式に設けるなど、ユーザー企業の参加にも継続性があるようで、これは参加した中小企業の満足度の高さの証左といえるかもしれない。実は本稿取材時点ですでに「令和 6 年度中小企業サイバーセキュリティ特別支援事業」に申込が完了している企業は、既存の 2 ~ 3 の事業の「卒業生」がほとんどだという実態を最後に書いておく。
本誌 ScanNetSecurity 読者の所属する企業なら、すでに素で「2.機器規定整備」「3.社内体制整備」まで完了している企業も少なくないだろう。運営側は「飛び級」参加ももちろん大歓迎である。
関連リンク
・令和 6 年度中小企業サイバーセキュリティ特別支援事業
https://tokubetsushien.metro.tokyo.lg.jp/
※ ちなみに本稿執筆時点で上記サイトには「サイト訪問者数 16,000 人突破」という、うらさびしくも心温まる文言が書いてあった。Web を訪問したらそこも確認して欲しい
・参加申込フォーム
https://forms.office.com/pages/responsepage.aspx?id=kcEK87S48kWam-VGbLkMLwe8ygRCi4ZNntFrAmbdoV9UOUY5VEIyUkhFVDZSTTZQVUxYTDg3QVlKNS4u
送信すると即、令和 6 年度中小企業サイバーセキュリティ特別支援事業 参加希望企業にエントリーします
・説明会申込フォーム
https://forms.office.com/pages/responsepage.aspx?id=kcEK87S48kWam-VGbLkMLwe8ygRCi4ZNntFrAmbdoV9UOTc1VjRUS1U2VjMzU1BNRU41WFBUMUxCWS4u
こちらは「参加申込」ではなく「説明会申込フォーム」
ちなみに本記事は説明会で使用されるスライドを 20 枚近く引用しているのですでにちょっとした「誌上説明会」になっていますが、細かいところや質疑応答等で確認をしたい方は参加してください
※ 最後の説明会が 6月26日(水)10:30~12:00 にあります
