｢★3｣が最低限の基礎水準､2026年度スタート"サプライチェーン強化に向けたセキュリティ対策評価制度"今から中小企業がやっておくべきこと

中間取りまとめでも、こうした法制度面の整理や、契約で要求基準や取得推奨を盛り込む際の考え方、ひな型の提供などが課題として挙がっています。星を要求するなら、理由の説明や段階的な期限設定、対策費の支援などの提示まで含めた取引設計がセットになるでしょう。

今から着手しておきたい現実的な準備

準備の第一歩は、背伸びした製品の導入ではなく、現状の棚卸しです。社内の資産が把握できていないと、脆弱性情報を見ても影響判断ができません。端末やサーバー、クラウド、利用中のSaaS、外部委託先、保管している重要情報などを洗い出し、更新の責任者と手順を決めるところから整えるのが現実的です。

しかし、多くの中小企業にとって最初のハードルとなるのは、「誰がそれをやるのか」という人材の問題です。

「中小企業では、セキュリティ専任の担当者はまずいません。私の肌感覚では、専任者がつくのは従業員数が1000人を超えたあたりからです。1000人以下の企業では、本業で稼ぐ役割の人が兼務でやらざるを得ず、どうしても後回しになりがちです。

しかし、独立したネットワークを持っている以上、推進役は必ず1人は必要です。その人に高度な知識がなくても構いません。外部のリソースを使ってもいいので、『スケジュール管理をして対策を前に進める人』を社内で確保することが、最初にして最大の難関であり、最も重要なポイントとなります」（村田氏）

推進役が決まったら、次に行うべきは自社のネットワークと資産の可視化です。村田氏はこれを「戦う前の地図作り」に例えます。

「セキュリティで一番大事なのは、どんなツールを入れるかよりも、自分たちのネットワークがどうなっているかを知ることです。しかし、多くの中小企業では『ネットワーク構成図をください』と言っても出てきません。地図がないのに戦争をするようなものです。

サーバーがどこにあり、どうつながり、誰がどんな権限でアクセスしているのか。これを一つひとつヒアリングして図に落とし込む作業が欠かせません。これがないと、どこを守ればいいのかさえわからず、対策の打ちようがないのです。Webサイトなどの診断には『ネットde診断 ASM』のような安価なツールを活用するのも有効です」（村田氏）

これは「ASM（Attack Surface Management）」と呼ばれる、近年注目されているアプローチです。「GMOサイバー攻撃 ネットde診断 ASM」のように、組織名やドメインを登録するだけで、インターネット上に公開されている自社のIT資産を自動で洗い出し、攻撃者と同じ視点でセキュリティの健康診断を行うクラウドサービスも登場しています。