手軽なのに安心なサイバーセキュリティ対策「QTクイックセキュリティアセスメントサービスpowered by KDSec」

自社のセキュリティ対策の弱点を2週間で可視化　中小企業向け問診型のセキュリティ診断

2025年03月28日 09時00分更新

文● 大谷イビサ　編集●ASCII　写真●曽根田元

提供: QTnet

　サイバー攻撃に不安を抱えつつ、対策に二の足を踏む中小企業にオススメしたいのは、まずは自社の課題を把握すること。「敵を知り己を知れば百戦危うからず」との言葉通り、自社の弱点を知ることで、初めて次の対策を打てる。そのための健康診断とも言えるサービスが、今回紹介するQTnetの「QTクイックセキュリティアセスメントサービスpowered by KDSec」（以下、QTクイックアセス）。QTnetの妻鳥暢一氏に話を聞いてきた。

セキュリティ対策に二の足を踏む中小企業　まずは診断から始めては？

　サイバー攻撃の脅威はきわめて深刻だ。企業の重要な情報を人質に取り、身代金を要求するランサムウェアの被害額は年々大きくなっている。4000社以上の中小企業を対象としたIPA（情報処理推進機構）の2月発表の調査では、サイバー攻撃を受けた企業は全体の約1/4に及ぶ。1000社近くで平均73万円、最大1億円の被害額が発生し、平均で5.8日の復旧期間を要しているという。

　サイバー攻撃の影響は、データの破壊や個人情報の漏えい、ウイルスメールの発信などで、7割が取引先にも深刻な影響をもたらしている。もはや「うちは大企業じゃないから」という楽観視はできない。顧客や従業員の情報、業務上の機密が脅威に面し、企業の信頼失墜や取引先の関係悪化につながってしまう。中小企業にとってセキュリティ対策はもはや避けて通れない。

　しかし、激化するサイバー攻撃に対して、中小企業の備えは年々後退している。同じくIPAの調査では、約6割の企業・団体は過去3期に渡って、セキュリティに対して未対策だという。この6割という数字は前回調査からほぼ倍近く増加した結果で、中小企業がセキュリティ対策を諦めつつある現状が見て取れる。

　セキュリティ対策の導入が難しい理由は多岐に渡っている。必要性の認知やコストの問題も大きな要因だが、大きな要因の1つは「何をすべきかわからない」ことだ。セキュリティは、端末、クラウド、データなど広範なハード面の対策が必要で、対策やソリューションも幅広い範囲にわたっている。たとえば、「インシデント」「脆弱性」「ガバナンス」といった用語も専門的で難解であり、担当者にとって理解しづらいものが多い。このため、中小企業の経営者はなかなか投資に踏み切ることができず、セキュリティ対策の導入が遅れてしまうのが現状だ。

　とはいえ、漠然と不安を抱えていても、サイバー攻撃は待ってくれない。まずは自社の問題を客観的に把握することが重要だ。そんな企業にオススメなのが、ヒアリングシートを元に企業のセキュリティ課題を洗い出すQTnetの「QTクイックアセス」だ。

クイックアセスメントは企業のセキュリティ対策の健康診断

　アセスメントとは「評価」や「査定」を意味しており、対策の前に客観的な評価を行なうことを意味する。QTクイックアセスは、60程度の設問を元に、ユーザー企業のセキュリティ対策の現状をレポートで明らかにしてくれる。

QTnetのQTクイックアセスの設問の一例

　60の設問は、企業のセキュリティ体制を調べる「ガバナンス」、サイバー攻撃への対策状況を明らかにする「マネジメント」、通信やメール、リモートアクセスのセキュリティ対策を調べる「ネットワークセキュリティ」、サーバーやエンドポイント、バックアップについて調査する「インフラ」、アカウントについて調べる「ID管理」、そして物理的なセキュリティも対象で、セキュリティ対策の現状について包括的に評価を得ることができる。

　QTnet 法人営業部セキュリティ販売推進グループグループ長の妻鳥暢一氏は、「多数のセキュリティ標準ガイドラインや、日々変化するセキュリティ動向を参考に、随時設問をアップデートしているので、今、ユーザー企業が優先順位を上げて取り組むべきセキュリティ対策を可視化できます」と説明。診察や投薬前の健康診断に近いものと言えるだろう。

QTnet 法人営業部セキュリティ販売推進グループグループ長の妻鳥暢一氏

　話を聞いてよいなと思ったのは、QTnetの担当者が問診しながら聞いていくという点だ。あらかじめヒアリングシートを埋めておけばよいわけではなく、担当者が対面形式で説明しながら、シートを埋めていく。セキュリティ対策というと、とかく用語も概念も難しいが、担当者からの説明があれば安心。ハードルは確実に下がる。

満点を目指すのが目的じゃない　自社の弱点と次の打ち手を検討できる

　安心な反面、問診型なので、適当な回答は許されない。たとえ対策があっても、それが形骸化していないか、ポリシーがあっても、従業員にきちんと周知されているかまで含めて、ヒアリングで実態をつかんでいくからだ。「たとえば『セキュリティ担当者を置いていますか？』という質問に対して、『イエス』という答えが返ってきても、実際は兼務でセキュリティ対策の実務を理解していないという場合は、やはりノーということで、修正させてもらいます」（妻鳥氏）と厳しい。ここらへんはユーザー企業の偽りのない実態を洗い出すためのQTnetの愛のムチと言えるかもしれない。

　こうしてできたヒアリングシートを元に作成されたレポートは、おおむね2週間でユーザー企業に提出される。もちろん、即日に出るようなサービスも存在するが、2週間というスピードで、納得感のあるレポートを得られるバランスの良さ。これこそQTクイックアセスの売りの1つだ。

　レポートでは200点満点でチャートが付けられており、サービス全体の平均点も記されているので、他社と比較してどこが弱いかなどを一目で把握できる。もちろん、60問の回答から導き出された考察も記載。「200点満点を目指すのではなく、あくまで弱点を把握するのが目的。第三者の中立な立場、かつ専門家の視点で、どこが弱点で、なにを重点的に取り組むべきかをお伝えしています」（妻鳥氏）。問診と同じく、報告も対面形式で行なわれるので、ユーザー企業の担当者もレポートの内容を確認しながら、次の打ち手を検討することができる。

QTクイックセキュリティアセスメントサービスのサンプルレポート

　本サービスの差別化ポイントについて妻鳥氏は、「Webでポチポチ操作しながら診断できる安価なサービスもありますが、それだとレポートの意図や次やるべき対策、あるいはお客さまの業種・業態に即した対応は難しいと思います。一方で、企業や部署全体のセキュリティ対策を棚卸しするようなサービスは精密な分、時間もコストもかかります。忙しい通常業務の中で現場と連携しながら実施するのは現実的ではありませんよね。もう少し、身の丈にあった診断サービスはないかと探している企業に、弊社のサービスは適していると思っています」と語る。

九州を地盤とした通信事業者で、セキュリティ分野も強い

　QTnetは、九州電力グループの電気通信サービス会社として、個人・法人向けのインターネットや各種ICTサービスを手がけている。法人向けにはネットワークやデータセンター、ICTソリューションを提供する「QT PRO」やデジタル広告・マーケティングの「QTDA」、企業が安全に生成AIを使うためのプラットフォーム「QT-GenAI」など多岐にわたるサービスを用意している。QTクイックアセスも、800社以上の導入実績を誇るQT PROのサービスの1つに位置づけられる。

　QTnetは2016年にサイバーセキュリティ対策の専門組織であるCSIRT（シーサート：Computer Security Incident Response Team）を九州でいち早く立ち上げ、全社でリスク対策を行う体制を整備し、サイバーセキュリティ対策、インシデント対応、従業員教育に取り組んでいる。ユーザー向けにも同年からセキュリティサービスへの注力をスタートし、10月に最初のサービスを立ち上げた。妻鳥氏は、「世間一般でサイバー攻撃が増加し、自治体や金融機関で比較的大規模なセキュリティ対策が必要になってきました。そんな中、我々が手がけてきた通信やITと切っても切り離せないセキュリティ対策をサービスとして立ち上げることが、お客さまのために必要だと考えました」と語る。

　通信事業者のセキュリティサービスということで、イメージがつきにくい読者も多いかもしれないが、サービスのラインナップはかなり包括的だ。ネットワークを防御するUTMのマネージドサービス、エンドツーエンドのセキュリティを守るゼロトラストセキュリティサービス、AIエンドポイントのマネージドサービス、UTMやエンドポイントセキュリティ製品などの監視運用、OSやミドルウェアの脆弱性診断、Webサイトを守るWAF（Web Application Firewall）のほか、人的な教育や研修まで手がける。アセスメントで弱点を把握した企業のさまざまなニーズに応えられるというのも、QT PROのメリットの1つだ。

　セキュリティサービスを支える体制もこの10年近くで拡充してきた。妻鳥氏は「通信やデータセンターを支えるインフラ系エンジニアをセキュリティ人材に育成したり、中途採用でセキュリティに強い人材を採用したり、人的リソースの拡充には力を入れてきました。また、実際に自社のセキュリティ対策を担う部門のメンバーをローテーションさせた結果として、現場で培った豊富な知見や経験を生かしてサービスを提供できています」と語る。九州でのサイバーセキュリティの啓蒙活動や官民学一体となった情報交換へも積極的で、「九州サイバーセキュリティシンポジウム（KYUSEC）」の活動をはじめ、ユーザー向けの各種セミナーも定期的に開催している。

　今回紹介するQTクイックアセスは、QTnetのセキュリティ分野での専門性を活かしつつ、セキュリティ対策に二の足を踏む中小企業の背中を押してくれるサービスだと思えた。サイバー攻撃に漠然とした不安を持つ中小企業の担当者は、ぜひセキュリティ分野に強みを持つQTnetのQTクイックアセスをお試しいただき、まずは自社の弱点を把握するところから始めて欲しい。

■関連サイト