情報セキュリティ
最終更新日:2024年5月8日
独立行政法人情報処理推進機構
セキュリティセンター
「サイバーセキュリティお助け隊サービス」制度に関し、よくあるご質問とその回答を纏めました。
いずれも基準適合性については審査登録機関の判断を予断するものではありませんが、ご参考ください。
これらの機能を有するものであれば、必ずしもUTMやEDRに限定をしてはいないことを意味しており、包括的に異常を監視できる機能があることが求められるものです。申請の際に、どのような機能を果たすものか記載した資料をご提出ください。
24時間の見守り体制として、場所の特定や人的拘束を要件とするものではありません。
見守りの手法については、各事業者において検討の上、申請の際にご説明ください。
具体的にはユーザーと合意したサービス規約に基づき実施いただくことになりますが、リモートによる対応支援だけでは足りず、ユーザーから要請された場合にユーザーの指定する場所に技術者を派遣する(駆付け)体制の構築は求められる点にご留意ください。
サービス基準上は、インシデント対応時に発生する各種コストとして、<初動対応(駆付け支援等)の費用を補償>するものであること、とされています。場合によってはユーザーの自己負担が生じる場合もあり得ると思われますが、どのような場合に、どのような範囲でユーザーに自己負担が生じるかを分かりやすくご説明いただくことが求められます。
簡易サイバー保険の付帯は必須要件であり、初動対応の費用を保険の補償の対象としていただくことが求められます。また、簡易サイバー保険は、保険業法で大別される損害保険であることが求められます。
必ずしも申請時点において、サービスが実際に提供(サービスイン)されている必要まではありませんが、申請に際しては、基準適合性を示すためにその付帯を裏付ける資料等が求められます。
サービス基準解釈等に関するガイダンスにも記載のとおり、サイバーセキュリティお助け隊サービスと類似のサービスを30社以上の中小企業に提供・運用した、製品のみならず運用サポート等も合わせて提供した、といった実績が一つの目安とされています。したがって、製品のみを数百社以上の中小企業に提供した実績があっても、それだけをもって本要件を充足することにはならないことにご留意ください。実績の有無については、申請の際に提供される情報から審査登録機関において総合的に勘案の上、判断されることになります。
実施主体(申請者)を中心に、チームとしてお助け隊サービスの継続・安定的な提供の可否が確認されることになりますので、パートナー事業者の実績もあわせて参酌され得るものと考えられます。申請の際に可能な範囲でご説明いただき、必要な資料があればご提出ください。
お助け隊サービスは事業者ではなくサービスを登録するものですので、要件を充足するものであれば1事業者で複数のサービスを登録することは可能です。
サービス基準上、実施主体とは、「お助け隊サービスに関する契約を中小企業と行う事業者であり、お助け隊サービス審査登録機関への申請等を行う者をいう」と定められている通り、販売機能を持たない事業者、つまり中小企業とお助け隊サービスに関する契約を締結しない事業者は、サイバーセキュリティお助け隊サービス基準に関する適合性の審査・登録を申請する実施主体となりません。
IPA セキュリティセンター
担当者:佐藤(み)/ 滝沢
2024年5月8日
部署名を変更
2024年4月1日
サイトをリニューアル