サイバーセキュリティお助け隊（令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業）の報告書について

公開日：2021年6月7日

独立行政法人情報処理推進機構
セキュリティセンター　企画部
中小企業支援グループ

事業概要

2019年度（令和元年度）に引き続き2020年度（令和2年度）においても、中小企業のサイバーセキュリティ対策を支援する仕組みの構築を目的とし、全国13地域・2産業分野の中小企業を対象に、損害保険会社、ITベンダー、セキュリティ企業、地域の団体等が実施体制を組み、実証事業（サイバーセキュリティお助け隊）を実施しました。
本事業の実施を通じて、中小企業のセキュリティ対策の促進や意識喚起、攻撃実態や対策ニーズ把握を行い、中小企業等に必要なセキュリティ対策の内容（対応範囲や費用等）、マーケティング方法や支援体制、中小企業等向けのサイバーセキュリティ対策の一つとして提供するセキュリティ簡易保険サービスのあり方、実証終了後のサービス提供の可能性等の検討を行い、報告書にまとめました。

2020年度実証のポイント

2019年度の事業では、全国8地域で計1,064社の中小企業が参加し、実証に取り組んだ結果、延べ128件のインシデント対応支援が発生し、そのうち18件の駆けつけ支援を実施しました。
2020年度は、2019年度事業の結果を踏まえ、地域特性・産業特性を考慮したマーケティングを行うため、13地域（24道県）と2産業分野の中小企業等を対象に実施するとともに、2021年度以降の民間でのサービス展開に繋げるべく、サービス内容のスリム化や導入・運用負荷を下げる検討を推進しました。

2019年度事業についてはこちら

実証対象一覧

全国13地域・2産業分野で事業主体が実施体制を組織し、中小企業に本事業を周知し、参加を呼びかけることで、計 1,117社の中小企業が実証に参加しました。
実証を行った対象地域/産業分野、実施体制、実証参加企業数は以下のとおりです。

①北海道

事業主体: 東日本電信電話株式会社

実施体制: 東京海上日動火災保険株式会社

参加企業数: 143

②宮城、山形、秋田、青森

事業主体: 東北インフォメーション・システムズ株式会社

実施体制: 株式会社ハイテックシステム、株式会社アキタシステムマネジメント、あいおいニッセイ同和損害保険株式会社

参加企業数: 40

③岩手

事業主体: 富士ソフト株式会社

実施体制: 東京海上日動火災保険株式会社

参加企業数: 71

④岩手、宮城、福島

事業主体: 株式会社デジタルハーツ

実施体制: 損害保険ジャパン株式会社、東日本電信電話株式会社

参加企業数: 56

⑤千葉、埼玉

事業主体: 富士ゼロックス株式会社
（※富士フイルムビジネスイノベーション株式会社。以下同じ）

実施体制: 東京海上日動火災保険株式会社

参加企業数: 60

⑥千葉

事業主体: SOMPOリスクマネジメント株式会社

実施体制: ちばぎんコンピューターサービス株式会社、株式会社千葉銀行、株式会社ラック、損害保険ジャパン株式会社

参加企業数: 66

⑦岐阜を中心とする中部エリア(岐阜、愛知、三重、静岡)

事業主体: MS&ADインターリスク総研株式会社

実施体制: 中部電力株式会社、株式会社中電シーティーアイ、中部電力ミライズ株式会社、三井住友海上火災保険株式会社、あいおいニッセイ同和損害保険株式会社

参加企業数: 76

⑧愛知、岐阜、三重

事業主体: 名古屋商工会議所

実施体制: 株式会社日立システムズ、西日本電信電話株式会社、東京海上日動火災保険株式会社、損害保険ジャパン株式会社

参加企業数: 140

⑨滋賀、奈良、和歌山

事業主体: 大阪商工会議所

実施体制: 日本電気株式会社、東京海上日動火災保険株式会社、キューアンドエー株式会社

参加企業数: 53

⑩香川

事業主体: 高松商工会議所

実施体制: 株式会社STNet、キャノンマーケティングジャパン株式会社、株式会社青柳、四国オフィスオートメーションシステム株式会社、四国特機株式会社、西日本電信電話株式会社、損害保険ジャパン株式会社、東京海上日動火災保険株式会社

参加企業数: 70

⑪福岡を中心とする九州圏（福岡、佐賀、長崎、熊本、大分、宮崎）

事業主体: 株式会社BCC

実施体制: 日本電気株式会社、東京海上日動火災保険株式会社、NECフィールディング株式会社

参加企業数: 54

⑫熊本

事業主体: 西日本電信電話株式会社

実施体制: 株式会社くまなんピーシーネット、東京海上日動火災保険株式会社、一般社団法人熊本県サイバーセキュリティ推進協議会

参加企業数: 105

⑬沖縄

事業主体: 沖電グローバルシステムズ株式会社

実施体制: 株式会社セキュアイノベーション、ファーストライディングテクノロジー株式会社、損害保険ジャパン株式会社、那覇商工会議所、沖縄電力株式会社

参加企業数: 102

⑭防衛・航空宇宙産業（関東地方、中部地方、関西地方）

事業主体: 株式会社PFU

実施体制: 株式会社エヴァアビエーション、損害保険ジャパン株式会社、富士通株式会社

参加企業数: 50

⑮自動車産業（静岡県、広島県等）

事業主体: 東京海上日動リスクコンサルティング株式会社

実施体制: 東京海上日動火災保険株式会社、エヌ・ティ・ティ・コミュニケーションズ株式会社、NTTセキュリティ・ジャパン株式会社、NTTコムソリューションズ株式会社、ジェイズ・コミュニケーション株式会社

参加企業数: 31

合計: 1,117社

※

対象地域の北から順に記載

実証参加企業の属性

実証参加企業の属性は以下のとおりです。
計 1,117社の実証参加企業の業種別内訳は、「製造業」が24.1%で最も多かったものの、「卸売業・小売業（13.6%）」や「サービス業（10.2%）」など、様々な業種の中小企業が参加しました。
実証参加企業の従業員数別内訳としても、「1～5人」が24.3%、次いで「21～50人」が20.2%であったものの、「201人～300人」も3.1%含まれるなど、多様性がありました。

中小企業におけるセキュリティ対策状況等の実態把握

セキュリティ機器等によるサイバー攻撃の実態把握

実証参加企業1,117社に対して、各事業主体が選定したセキュリティ機器（UTM 機器、EDR ソフト等）を実証参加企業に設置（延べ1,190社）することで実態を把握しました。
各事業主体が実施した取組みは以下のとおりです。

東日本電信電話

実証参加企業数: 143

セキュリティ機器等によるサイバー攻撃の実態把握: UTM機器:134(設置数)

東北インフォメーション・システムズ

実証参加企業数: 40

セキュリティ機器等によるサイバー攻撃の実態把握: UTM機器:40(設置数)

富士ソフト

実証参加企業数: 71

セキュリティ機器等によるサイバー攻撃の実態把握: ネットワークセンサー:71(設置数)

デジタルハーツ

実証参加企業数: 56

セキュリティ機器等によるサイバー攻撃の実態把握

UTM機器:22(設置数)
MDR付きEDRソフト:24(設置数)

富士ゼロックス

実証参加企業数: 60

セキュリティ機器等によるサイバー攻撃の実態把握: UTM機器:36(設置数)

SOMPOリスクマネジメント株式会社

実証参加企業数: 66

セキュリティ機器等によるサイバー攻撃の実態把握

UTM機器:59(設置数)
EDRソフト:51(設置数)

MS&ADインターリスク総研

実証参加企業数: 76

セキュリティ機器等によるサイバー攻撃の実態把握

UTM機器:50(設置数)
EDRソフト:50(設置数)

名古屋商工会議所

実証参加企業数: 140

セキュリティ機器等によるサイバー攻撃の実態把握

UTM機器:29(設置数)
Defender監視ツール:6(設置数)
Web対策ツール:41(設置数)
メール対策ツール:7(設置数)

大阪商工会議所

実証参加企業数: 53

セキュリティ機器等によるサイバー攻撃の実態把握: UTM機器:53(設置数)

高松商工会議所

実証参加企業数: 70

セキュリティ機器等によるサイバー攻撃の実態把握

UTM機器(キヤノン):16(設置数)
UTM機器(NTT西日本):24(設置数)

BCC

実証参加企業数: 54

セキュリティ機器等によるサイバー攻撃の実態把握

UTM機器:54(設置数)
EDRソフト:42(設置数)

西日本電信電話

実証参加企業数: 105

セキュリティ機器等によるサイバー攻撃の実態把握

UTM機器:105(設置数)
EDRソフト:105(設置数)

沖電グローバルシステムズ

実証参加企業数: 102

セキュリティ機器等によるサイバー攻撃の実態把握

UTM機器:15(設置数)
クラウドWAF:8(設置数)
簡易EDR:68(設置数)

PFU

実証参加企業数: 50

セキュリティ機器等によるサイバー攻撃の実態把握: PCの脅威検知:50(設置数)

東京海上日動リスクコンサルティング

実証参加企業数: 31

セキュリティ機器等によるサイバー攻撃の実態把握: UTM機器:30(設置数)

合計

実証参加企業数: 1,117

セキュリティ機器等によるサイバー攻撃の実態把握: 1,190

相談・インシデント対応ほか技術的支援の状況

本事業では事業主体ごとに実証参加企業からの実証に関する相談受付および対応等の実施体制（コールセンター）を構築し支援を実施しました。
セキュリティ機器による検知、および脆弱性診断等の結果に基づき、合計293件のインシデント対応ほか技術的支援を行いました。対応件数および内訳は以下のとおりです。

＜相談・インシデント対応ほか技術的支援の状況＞

全体まとめ

中小企業のセイバーセキュリティ対策の実態

本実証事業においても、2019年度事業と同様に、業種や規模を問わずサイバー攻撃の脅威にさらされており、ウイルス対策ソフト等の既存対策だけでは防ぎきれていない実態が明らかとなった。
インシデント対応ほか技術的支援は、2020年度は新型コロナウィルス感染症拡大の影響もあり、当初からリモートによる管理可能なサービス提供が多く行われたこともあり、概ねリモートによる支援対応となった。
インターネット上に公開しているホームページやサービスサイト等の脆弱性診断において、対象企業のほとんどで何らかの脆弱性（弱点）が発見された。加えて、そのうち概ね2割の企業においては重大なインシデントに繋がる可能性があると診断された。
セキュリティ対策上の課題としては、専門人材の不足、社員や専門人材に対する教育がなされていない、費用を捻出することが困難といった声が寄せられた。
セキュリティ対策について予算は全くかけていない、あるいは最低限のみ対策費用をかけているという企業が多かった。セキュリティ対策に支払可能な金額としては、月額1万円程度と回答する中小企業が多かった。

セキュリティ簡易保険サービスのあり方

各事業主体における検討の結果、①サイバー保険は製品やサービスの付帯保険として提供され、中小企業にとって加入しやすい価格帯とする、そして②インシデントが発生した場合の賠償費用やフォレンジック等の本格的な調査・対処費用については、任意保険として提供するという考え方が多数であった。

実証終了後のサービス提供の可能性

実証事業の過程で中小企業のニーズにマッチした民間サービスの開発が進められる中で、IPAでは、本実証事業の結果等を踏まえ、相談窓口、異常の監視、緊急時の対応支援、簡易サイバー保険などの各種サービスをワンパッケージで安価に提供することを要件としてまとめた「サイバーセキュリティお助け隊サービス基準」を2021年2月に策定・公表しました。
同基準を満たすサービスには、「サイバーセキュリティお助け隊マーク」の利用を許諾し、ブランド管理を行うとともに普及を促進します。