情報処理推進機構（IPA）が毎年発表する「情報セキュリティ10大脅威」でも指摘されているように、ランサムウェアなどによるサイバー攻撃は中小企業にも大きな被害を与えている。経済産業省の商務情報政策局サイバーセキュリティ課・課長補佐の池田佳高氏は、そうしたサイバー攻撃に立ち向かう中小企業を支援するための「サイバーセキュリティ対策」「人材育成・活用」「サプライチェーン強化に向けたセキュリティ対策評価制度」について、政策・施策の概要を紹介した。


　まず池田氏は、サイバーセキュリティ対策に関する3種の施策を説明。「SECURITY ACTION」はセキュリティ対策に取り組むことを中小企業が自己宣言する制度で、「一つ星」「二つ星」の2段階の構成。各種補助金・助成金の要件となっていることもあって、すでに約40万社が宣言しているという。「サイバーセキュリティお助け隊サービス」は、24時間の異常監視、緊急時の駆け付け、簡易サイバー保険などをパッケージとして、安価に提供するサービスで、現在全国46事業者が提供している。また、補助金により３分の２又は２分の１の補助を受けることができる。「中小企業の情報セキュリティ対策ガイドライン」は、IPA策定の指針である。

　次の人材育成・活用は、専門的な知識と技能を備えたセキュリティ人材を増やすことを狙った政策である。具体的には、情報セキュリティに関するマネージメントやコンサルティングを担う国家資格「情報処理安全確保支援士（登録セキスペ）」を2016年に創設。国に登録された23571人（25年4月1日時点）がさまざまな企業・団体のセキュリティ対策を支援できるようにした。また、中小企業が社内でセキュリティ人材を確保・育成するための手順を4ステップに分けて解説する“実践的方策ガイド”の策定作業も進行中。「25年度内にIPAが公表する予定になっている」と池田氏は説明した。

　3番目のサプライチェーン強化に向けたセキュリティ対策評価制度は、サプライチェーンにおけるセキュリティ対策の成熟度を評価するための仕組みだ。発注側企業はこの成熟度を取引先企業にセキュリティ要件として示し、受注側企業は指定された成熟度を満たすように自社のセキュリティ体制を整えていくことになる。これにより、セキュリティ対策状況が可視化され、対外的にも説明が容易になるといったメリットがある。成熟度は3段階の構成となっていて、SECURITY ACTION「一つ星」「二つ星」の上位である「三つ星」から「五つ星」を予定している。当面は「三つ星」「四つ星」の運用を行い、最上位の「五つ星」はその後に検討開始される予定だ。

　最後に、池田氏は「セキュア・バイ・デザインの実践」「中小企業向け施策の周知と活用」「自社のセキュリティ対策のステークホルダーへの開示、対話」の3点に言及。対策強化の必要性を訴えた。