ビジネスチャンスを逃さないために—「ガイドライン対応サポートアカデミー」の取り組み

2025年4月、経済産業省は企業のサイバー対策を5段階で評価する「サプライチェーン強化に向けたセキュリティ対策評価制度」の実施に向けた中間とりまとめを公表しました。2026年にも制度開始と言われていますが、こうした評価制度を受けることは自社のセキュリティ対策が一定の基準を満たしていることの証明となります。ひいては取引先や顧客からの信頼感を得ることができビジネス上の恩恵を受けることにつながります。

ただ、こうした制度の基準を満たすには、求められるセキュリティ対策に対する正しい理解や、自社に見合った適切な対応の洗い出しなど多くの課題が待ち受けているのも事実です。中堅・中小企業のひとり情シスや兼任情シスにとってはリソースや専門人材の不足といった問題で対応が難しいこともあるのではないでしょうか。

そこで今回はこのような課題を解決する「ガイドライン対応サポートアカデミー」を提供されているエムオーテックス株式会社（以下、MOTEX）の山岸様、花原様にお話をうかがいました。

MOTEXが提供するLANSCOPEブランドのセキュリティプロダクト・サービスは、国内累計3万社以上のお客様にご導入いただいております。ガイドライン対応サポートアカデミーは、2023年10月に自動車産業向けのサービスとしてスタートしました。

きっかけは、2020年に発表された『自工会/部工会・サイバーセキュリティガイドライン』についてのお客様からのお問い合わせでした。「どのように対応すべきかわからず困っている」「LANSCOPEを入れればガイドライン対応が出来たと言えるのか？」「そもそも書いてある内容が分からない」というような内容でしたので、まずは「必要とされるセキュリティ対策を正しく理解する」という、対策実施の“出発地点”に対してご支援を提供するべきだと思い、サービス化を検討しはじめました。

イメージは、学習塾です。

「セキュリティガイドラインへの対応」という実現したい目標に対して、「どうすればいいのかわからない」「誰かに相談したい」とお悩みの情報システム管理者・セキュリティ担当の方は数多くいらっしゃると思います。そういった方に対して、道筋を示し、必要なときにすぐ相談できる環境をご提供できれば、目標は必ず達成できるはずです。

お客様の目標に寄り添い、伴走して支えるという想いを込めて、「ガイドライン対応サポートアカデミー」と名付けました。　

自動車産業向けのガイドラインである『自工会/部工会・サイバーセキュリティガイドライン』では、付属のチェックシートに自社の対策状況を入力し、ガイドラインの発行元である一般社団法人日本自動車工業会（以下、自工会）へ年に一度提出することが求められています。これはサイバーセキュリティ対策に関する課題意識の向上と改善の継続的な実施を促し、各企業、ひいては産業全体のセキュリティ対策を底上げさせようという意図ですが、153項目にもわたるチェック項目に対して、その達成基準を正しく理解し、「できている」「できていない」を回答するためには、相当の専門知識が必要です。

こういった動きは自動車産業に限定されたものではなく、企業単位で自社の取引先や関連企業に対して行われるケースも数多くあります。弊社が開催したセミナー内のアンケート^※では「取引先からセキュリティチェックシートが届いていますか？」という質問に対して、「届いている」と答えたお客様が6割以上でした。さらに、その中で「5社以上から届いている」と答えたお客様は43％にも上りました。

^{※MOTEXが2025年1月に開催したオンラインセミナーで参加企業を対象に行ったアンケートの結果（有効回答数135件）}

取引先から送られてくるチェックシートの場合、それぞれが業界向けのガイドラインやIPA、NISTなどが発行する一般的なガイドラインなどを参考に、取引に最低限必要となるセキュリティ対策の実施項目をリスト化し、相手方に対策実施状況の回答を求めるという形が一般的です。セキュリティチェックを受ける側の企業からすれば、内容や項目の粒度が異なる複数のチェックシートに対応することがかなりの負担となります。

また、セキュリティ対策についての知識が不足していると、チェックシートに誤った回答を記載して提出してしまうといった、取引先からの信用を失いかねない事態も起こりえます。

自動車産業に特化した「自工会/部工会・サイバーセキュリティガイドライン対策パッケージ」と、すべての企業が共通で行うべき基本的なサイバーセキュリティ対策の実施を支援する「サイバーセキュリティ対策パッケージ」の2つのメニューをご用意しています。この2つの違いは、達成状況の基準となるチェックシートにあります。自動車産業向けには、自工会が発行する「自工会/部工会・サイバーセキュリティガイドライン」に付属のチェックシートに基づいた支援を行うのに対して、「サイバーセキュリティ対策パッケージ」ではIPAなどが発行する一般的なガイドラインや規格などをもとにMOTEXが独自に作成したチェックシートに基づいた支援を行います。

さらに、それぞれのメニューに「学習コース」「実践コース」の2つのコースを用意しており、目的に応じて選択できます。以下、「サイバーセキュリティ対策パッケージ」を例に、コース内容と価格体系についてご紹介します。

セキュリティ対策の強化に必要な前提となる知識やノウハウを習得し、チェックシートを用いて自社のセキュリティ対策状況の現状把握をすることを目的としたコース

チェックシートで明らかになった自社の弱点に対して、実際に対策の強化を行っていくことを目的としたコース

サポートアカデミーは、一方的なコンサルティングではありません。体系的な学習プログラムと個別サポートで、お客様自身がセキュリティ対策を理解し、実践できるようになるための「学びのプラットフォーム」です。

一般的なセキュリティコンサルティングの場合、数百万円から数千万円の費用がかかりますが、サポートアカデミーはそれらと比較して圧倒的に安価です。また、一般的なコンサルティングの場合は数カ月のスポット契約になるケースがほとんどですが、サポートアカデミーは1年ごとの契約更新が可能です。コンサルタントの継続的な支援を受けることで、お客様ご自身が主体となって無理なくセキュリティ対策強化を推進することができます^※。これにより、セキュリティ運用を根付かせ、実効性のあるセキュリティ対策を実現することを目的としています。

^{※Web会議形式での個別相談は1ヵ月に1回実施でき、不足した場合は有償にて実施回数を追加できます。メールでの個別相談は回数無制限となります。}

MOTEXには情報処理安全確保支援士などの難関国家資格を持つセキュリティエンジニアが多く在籍しておりますので、こうした専門家に、好きなタイミングで、継続的に相談できる点が一番のメリットになると考えます。

サイバー攻撃の手段が日進月歩にますます巧妙化・複雑化している中で、セキュリティ対策に完璧なゴールはありません。仮に一度コンサルティングを受けて、その時点での完璧な状態に整備したとしても、ずっとそのままでは新たなサイバー脅威に対応できず、セキュリティレベルは低下していってしまいます。その点、サポートアカデミーであれば、継続的にサポートしますので、変化に合わせて対策を改善していくサイクルもお手伝いできます。

継続しやすい価格設定で、専門家にいつでも相談できるようなサービスは、他には存在していないと思っています。

採用コストをかけてセキュリティに詳しい人員を雇い、対策やシステム運用を担ってもらっていたが、属人化してしまい、その従業員の退職後に自社内で運用が回せなくなってしまった、といったこともよく伺います。

サポートアカデミーでは、MOTEXのコンサルタントがセキュリティ対策を丁寧に解説する講座動画などの学習コンテンツをご提供しています。こうしたコンテンツは、同一企業の従業員であれば、専用のポータルサイトを通じて何人でも何度でもご利用いただくことが可能です。講座動画に視聴人数・視聴回数の制限は設けていないため、情報システム部門や関連する部門のメンバー全員に対して開放し、関係者全員が同じレベルの知識を持ってセキュリティ推進を行えるよう、ご活用いただいているお客様事例もございます。

前述の通り、サポートアカデミーは1年単位で契約更新し、安価な価格設定で、継続的な支援を受けることができます。現担当者の異動や退職の際にも、次の担当者が学習コンテンツを活用して知識習得をしていくことができますので、中堅・中小企業の皆様が抱えやすい属人化の課題にもフィットすると考えております。

前述の通り、サポートアカデミーの「サイバーセキュリティ対策パッケージ」では、お客様の現在の対策の実施状況の不足や改善ポイントを総点検できるチェックシートをご提供します。これはMOTEXが独自に作成したものですが、主に以下の内容をベンチマークしてご提供しています。

これらの一般的なガイドライン・規格に対する、自社の立ち位置を把握して改善を進めることができますので、お取引先に対しても明確に自社の対策の充実度をアピールすることができます。

LANSCOPE製品に限らず、セキュリティに関する体制やルールが正しく整備されていないと、どんなに性能の高いキュリティツールを導入しても、期待通りの効果を得ることは困難です。例えば、ログ管理システムを、ただ操作ログを保存しておく保管庫として利用されているお客様がいらっしゃいます。このような使い方がまったくの無意味とは言いませんが、ログ管理システムを有効に活用するには定期的にログをチェックする運用を回すことが肝要です。

保管庫のような使い方だと、マルウェア感染や内部不正などのセキュリティインシデントが発覚してはじめて原因を調査することになります。事件が発覚するまでに半年や1年など、長期間を要した場合、その間にも被害は大きく拡大している恐れがあります。定期的なログ確認（監査）を行っていれば、問題を軽微な段階で、早期に発見し対処できます。定期的に従業員への注意喚起を実施することで、社内にルールが浸透し、大きな事故が起こりにくい環境を整えることができます。

サポートアカデミーを通じて、セキュリティに関する体制やルールを正しく理解・整備し、すでに導入されているセキュリティ製品を運用することで、その効果が飛躍的に高まると考えます。

まずは、一般的に求められるセキュリティ対策に対して、自社がどこまでできていて、何が足りていないのかを洗い出すことです。講座動画を通じた学習や、コンサルタントとの個別相談を通じて洗い出しの作業についてもご支援できます。講座動画は、専用ポータルサイトからいつでも好きな時に視聴でき、1講座当たり15分程度ですので、忙しい方でも空き時間で取り組むことができます。

さらに「カウンセリング」のサービスをご活用いただくと、不足している対策項目について、実施の優先度やおすすめの順番、さらには導入が必要な対策ツールまで、コンサルタントがアドバイスをさせていただきます。「やらなければならないことはわかっているが、どうしたらいいのかわからない」という方に、サポートアカデミーが寄り添って伴走支援することで、一歩一歩着実にレベルアップをしていくことが可能です。

セキュリティガイドラインは専門用語が多く使われているため、内容を読み解くことだけでも難易度が高く、時間がかかってしまいます。

そこで、まずは要求されるセキュリティ対策の内容を誰でも理解できるようにする必要があると考えました。学習コンテンツの講座動画は、セキュリティに関する知識が少ない方の視聴を前提に、難しいこともかみ砕いて解説することにこだわっています。

その上で、重要になるのが「どこまでやれば出来たと言えるのか」という達成基準の明確さです。この点についても、講座動画や提供するチェックシートで達成基準を細分化し、明確でわかりやすい基準としてご提示します。また、自社の対策が基準を満たせているかコンサルタントに確認できる「チェックシート添削」もありますので、達成基準の解釈に迷った場合でも安心です。

リリース後のお客様の反応から、各社の導入目的や実現したいことがさまざまであることが分かりました。

当初弊社が主なターゲットとしていた、「特定のガイドラインへの対応を進めたい」という目的での導入はもちろんですが、例えば、これまで独学でサイバーセキュリティ対策に取り組んでおり、目標とするセキュリティレベルには到達できているはずだが、念のため“答え合わせ”をしたいというケースでの導入もありました。実際、サポートアカデミー導入後のお客様から「できていると思っていた対策に実は穴があることを発見できた」という声も多く伺っています。

また、他社のコンサルティングでセキュリティ診断を受けて、次に実施すべき対策のアドバイスをもらったが、その内容は実は対応を進めたいガイドラインの項目にはあてはまらなかった、といったケースもありました。こういった場合にも、サポートアカデミーは、企業が達成すべきガイドラインをベースとして優先順位や実践的な対策方法をお伝えできますので有効です。

2023年に自動車産業に特化したメニューでサポートアカデミーをリリースし、2025年1月にはすべての業界・団体のお客様向けのメニュー「サイバーセキュリティ対策パッケージ」を追加し、拡充を進めてまいりました。今後の展開としては、二つの軸を中心に考えております。

一つは、業種やニーズを軸にした展開です。小中高等学校教育委員会向けの教育情報セキュリティポリシー策定支援や製造業・工場におけるOT環境に対する支援について検討をしている状況です。

もう一つは、セキュリティツール導入時の設定や導入後の運用に関するご支援です。ガイドライン対応のためにセキュリティツールを導入する場合、ガイドラインで求められる基準を達成するために、具体的にどのような設定や運用が必要なのかが課題となります。こういった実践的な内容をご提示することも、お客様に喜んでもらえるのではないかと考えております。

ひとり情シスという言葉に象徴されるように、組織のセキュリティ対策に従事している方は、何かと孤独であるという話をよく聞きます。相談先がなくて困ったときには、費用を払って一定期間コンサルティングを受けるという方法もありますが、これもあくまで一時的なものとなります。

この点に対して、サポートアカデミーでは継続しやすい価格設定でいつでも専門家に相談できる環境をご提供しておりますが、将来的には、サポートアカデミーの会員企業様同士、利害関係なく、セキュリティについて相談し合えるようなコミュニティを育てていくことも目指しています。コミュニティを育てることにより、関係者の方によりサイバーセキュリティの意識が根付き、実践的な対策も広がりを見せていくのではないかと考えています。

一例として、Pマークが普及したタイミング（2005年の個人情報保護法施行）で何が起きたかを振り返ってみると、入札や取引の条件としてPマークの取得が求められるようになりました。結果、Pマークを持っていないと受注・受託できない状態となり、2004年当時は取得企業数が1,294社であったのが、2005年に3,656社、2006年で7,347社、2024年には17,766社と爆発的に取得が進みました。また2005年ごろには、Ｐマーク取得の申請をしても、審査のための順番待ちが発生して取得までに時間がかかり、予定していた注文・依頼が受けられないという事態も発生しました。

これと同様のことが、経産省の「セキュリティ対策評価制度」でも発生することが予想されます。本制度では、企業のサイバーセキュリティ対策の実施状況を星3〜星5で格付けされます。自社の取引先を選定する企業の立場としては、2社が同じ条件であった場合、セキュリティレベルが一方は星3、もう一方は星4となれば、当然ながら星4取得企業を優先して選定するでしょう。

こういったことから、「セキュリティ対策評価制度」においても、各社いち早く資格取得の準備を進めて、「セキュリティ対策評価制度」の開始と同時に星4を取得することが、ビジネスにも大きくプラスになると考えます。

経済産業省が2025年4月に公表した本制度の中間取りまとめでは、星3〜星4の認定を受けるための「要求事項案・評価基準案」も公表されています。こちらと、サポートアカデミーの「サイバーセキュリティ対策パッケージ」で提供するチェックシートを比較すると、多くの項目が共通した内容となっております。

星4の取得には、第三者評価機関による審査と、技術検証事業者による検証（脆弱性診断・ペネトレーションテストなど）に合格することが必要になる見込みです。取引先からのチェックシートのように自己申告だけで済むものではなく、第三者による厳格な審査に合格できるよう、要求事項に対する正しい理解が必要となります。サポートアカデミーを今からご活用いただくことで、評価制度の要求事項に対して、コンサルタントのサポートのもとで実践的に対応を進めていくことが可能です。