“兼任担当者”にも分かりやすく、キヤノンMJの「セキュリティソリューションガイド」

中堅・中小企業のセキュリティ強化、まず何から始めればいい? 悩みに答える無料のガイドブック

文●大塚昭彦/TECH.ASCII.jp 写真● 曽根田元

提供: キヤノンマーケティングジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

 経済産業省が主導し、企業のサイバーセキュリティ対策の成熟度を格付けする制度、「サプライチェーン強化に向けたセキュリティ対策評価制度」が、2026年度中に始動する見込みだ。“サプライチェーン強化”を目的に掲げていることからも分かるように、この制度の対象は中堅・中小企業にも及ぶ。制度がスタートすれば、企業は取引先から、同制度に基づく「セキュリティ対策水準の可視化」を求められるケースが増えるだろう。

2026年度中にスタートする、企業のサイバーセキュリティ対策格付け制度の目的(出典:経済産業省

 他方では、警察庁が警鐘を鳴らしているとおり、ランサムウェアをはじめとするサイバー攻撃のターゲットが「セキュリティ対策が手薄な中堅・中小企業」に向かいつつある。たとえ会社規模が小さくとも、ひとたび被害が発生すれば、ビジネスへの影響は「長期にわたる事業活動の停止」「取引先からの信用失墜」など深刻なものになりうる。

 このように、セキュリティ対策の強化はすでに、中堅・中小企業においても“待ったなし”の状況だ。しかし、現実には「これまでのセキュリティ対策以上の対策には、なかなか踏み出せない」という中堅・中小企業も多い。特に、専任のIT/セキュリティ担当者がいない中堅・中小企業からは、「どこから何をすればいいか分からない」「対策をしても、“対策漏れ”があるかもしれず自信が持てない」といった声が聞かれる。

 そんな課題を抱える中堅・中小企業では、具体的なセキュリティ製品の導入検討よりも先に、まず「実施すべきセキュリティ対策の整理/優先順位付け」に取り組み、全体的なセキュリティ戦略を再構築しなければならない。

 そのために役立つ資料として、キヤノンマーケティングジャパン(キヤノンMJ)が「セキュリティソリューションガイド」を無料公開している。どのような内容で、中堅・中小企業にとってどう“役立つ”のか。このガイドの制作に携わった、同社 セキュリティソリューション企画本部の友納源氏に聞いた。

キヤノンマーケティングジャパン セキュリティソリューション企画本部 セキュリティソリューション事業推進部 セキュリティソリューション戦略推進課の友納 源氏

中堅・中小企業のセキュリティ強化、「何からすればいいのか」の問いに答える

 キヤノンMJのセキュリティソリューションガイド(以下、ガイド)は、昨年(2024年)に初めて発行された。今回の2025年版は、その構成や内容を大幅にブラッシュアップしたものとなる。

キヤノンMJ「セキュリティソリューションガイド(2025年版)」。全16ページのPDFがWebサイトで無料公開されている

 このガイドが想定する読者像は、中堅・中小企業の情報セキュリティ担当者だ。しかも、専任のIT/セキュリティ担当者だけでなく“兼任セキュリティ担当者”までを想定していると、友納氏は説明する。

 「とくに中小規模のお客様では、社内にセキュリティ専門の人材がおらず、総務や人事を担当する方などがセキュリティ担当者を兼務されているケースが多くあります。そうしたお客様から『セキュリティ強化と言われても、何をすればいいのかわからない』というお声をよくいただくので、キヤノンMJからこのガイドを通じて情報をご提供することにしました」

 さらに友納氏は、セキュリティの専門人材がいないという課題に加えて、中堅・中小企業では「セキュリティ投資に対して経営層の理解が得づらい」「最新のサイバー脅威に関する情報収集ができていない」といった課題もあると指摘する。

 そのため、ガイドの制作にあたってはまず、「いま警戒すべき最新のサイバー脅威への対策を軸に据えること」と、「企業が取り組むべき対策を体系的に整理した情報を提供すること」を重視したという。そうすることで、たとえ兼任担当者であっても「何をすればいいのか」が明確になり、経営層からの理解も得ながら、効果的なセキュリティ対策を実行していく“最初の一歩”が踏み出せるからだ。

 「このガイドでは、現在はこういう脅威があって、それに対してこういう対策があると、整理してお伝えしています。これを使えば、お客さまご自身で実施する対策の取捨選択や優先順位付けを、自社の状況に照らし合わせながらご判断いただけると思います」

最新の脅威/対策動向を学び、「対策の目的」から視野を広げられる工夫

 そのようなコンセプトに基づいて、このガイドではページ構成にも工夫が凝らされている。

 冒頭のパートではまず、IPA(情報処理推進機構)が発表した最新の「情報セキュリティ10大脅威」、NIST(米国国立標準技術研究所)が策定した「CSF(サイバーセキュリティフレームワーク)」、そして「ゼロトラスト」についての、簡潔な解説が掲載されている。

 これらはそれぞれ、「いま警戒しなければならないサイバー攻撃は何か」(=IPA 10大脅威)、「自社のセキュリティ対策で補強すべき部分はどこか」(=NIST CSF)、「最新のセキュリティ対策の考え方とはどんなものか」(=ゼロトラスト)に対応している。つまり、このパートを一読することで、いま注意すべき脅威に対応した、投資バランスの良い、最新のアーキテクチャに基づくセキュリティ対策が考えやすくなる。

ガイドの冒頭パートではまず、最新の脅威/対策動向がまとめられている

 この後には、具体的なセキュリティ対策紹介のページが続くが、ここでも構成が工夫されている。一般的なソリューションカタログとは違い、たとえば「ランサムウェアによる被害を防ぐ」「内部不正による情報漏えいを防ぐ」「脆弱性に的確かつ迅速に対応する」といった、セキュリティ管理者の「対策の目的」に基づく大分類としているのだ。

 加えて、この対策の目的(大分類)の下に、それを実現する複数の具体的な対策(小分類)が位置付けられていることもポイントだ。

 「たとえば『ランサムウェア対策をしたい』、だから『EDRを導入しました』、それでおしまい、というお客さまも多くいらっしゃいます。しかし、ランサムウェア対策のアプローチは、そのほかにもあります。このガイドでは、1つの脅威を防ぐ対策には複数の選択肢があることをお伝えすることで、これまで知らなかったアプローチへの新たな気づきになればいいと考えています」

目次ページ(一部を拡大)。大分類である「対策の目的」に、複数の「具体的な対策」がひもづけられている

 また、具体的な対策と、対応ソリューション(製品)の解説ページでは、それぞれの対策が、NIST CSFが規定するセキュリティの「6つの機能」(統治/識別/防御/検知/対応/復旧)のどれをカバーするかが示されている。これもポイントだ。

具体的な対策と対応ソリューションの解説ページ(一部を拡大)。赤枠の部分で、NIST CSFのどの機能に対応するかが示されている

 友納氏は、昔ながらのセキュリティ対策の考え方では、どうしても「防御」機能だけに重点が置かれてしまう、と指摘する。これではバランスの悪いセキュリティ対策になってしまう。

 「エンドポイントセキュリティ(EPP)を導入したら、次はファイアウォールを導入して……と、『防御』のソリューションばかり強化しても、その一方でユーザー認証が手薄だったり、データ保護が手薄だったりすれば、効率的な対策にはなりません」

 各ソリューションがカバーする機能、そして“カバーできない機能”を知ることで、ほかのソリューションで補うべき機能も分かる。これにより、バランスが良く、対策漏れの少ないセキュリティ対策が検討できる。

巻末には、NIST CSFの機能別に分類した商品ラインアップのページもある(画像は一部を拡大)

* * *

 キヤノンMJでは、このガイドをどう役立ててもらいたいと考えているのか。友納氏は、記事冒頭で触れた政府の「セキュリティ対策格付け制度」がスタートする中で、セキュリティ対策の強化に迷っている中小企業の対策検討に活用してほしいと語った。

 「この制度(格付け制度)の開始によって、国を挙げてサイバーセキュリティ対策を強化していく方向性が強まると思います。そうなれば、中小企業においても、取引先からより高度で体系的なサイバーセキュリティ対策が求められるようになるでしょう。その対策をどう進めるか。セキュリティ対策を段階的に強化していく際の、参考資料のひとつとして活用いただければ幸いです」

■関連サイト

キヤノンMJ トップへ