« ドイツ 医療現場におけるサイバーセキュリティ:BSIの研究が示す緊急対策の必要性 | Main | ドイツ 政治選挙以外の選挙向けオンライン投票製品の認証を開始... »

2024.03.27

ドイツ CyberRisikoCheck:中小企業向けITセキュリティ

こんにちは、丸山満彦です。

中小企業のサイバーセキュリティ対策はどこの国も悩んでいると思います。

英国では2023年より「サイバーアドバイザリー制度」がはじまっていて、このブログでも紹介しましたが、今回はドイツのものです...

1年か2年ほど前になりますが、経済産業省のサイバーセキュリティ課の方に、中小企業対策の話を聞かれて、海外政府(その時は、ドイツ、英国を挙げたような気がしますが)と相談したらよいといいました。そして、日本の取り組みも紹介すればよいと(改善の余地があるかもしれないけど、サイバーセキュリティお助け隊の制度とか...)。お互いの制度等で参考になる部分があると思うので、参考にできるところは参考にする。

個人的には、できる限りシステムをクラウドに寄せて、中小企業がコントロールしなければならない領域を少なくし、そこに対策のためのリソースを集中するしか方法はないと思っています(これはもう10年以上前からそう言っていて、満塩さんが経済産業省にいるころに、自動車産業のサプライチェーンを例にその話をした記憶があります...)。

あと、経済産業省は特に、過去の政策の評価を(制度的にというよりも次に活かすために)チェックし、改善をしていくのがよいと思います。どうも作るのはすきだが、メンテするのは苦手(配置替えもあって...)なような気がします。

ドイツは、CyberRisikoCheckという、チェックリストを用意しているようですね...これは、新しいコンサルティング基準 DIN SPEC 27076 に基づいたもののようです...

Logo_cyberrisikocheck

 

50名未満の企業はISMSの構築には向いていないので、別の方法が必要だろうということで、この基準が開発されたようですね...

このチェックリストに基づいてチェックした結果はのちの政府の対策のためのデータとなり、対策の費用については50%の補助金もでるようですね...

 

 

さて...

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.03.23 CyberRisikoCheck: IT-Sicherheit für kleine und mittlere Unternehmen

CyberRisikoCheck: IT-Sicherheit für kleine und mittlere Unternehmen CyberRisikoCheck:中小企業のためのITセキュリティ
Um kleine und mittlere Unternehmen (KMU) dabei zu unterstützen, ihre Cyberresilienz zu erhöhen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit Partnern den CyberRisikoCheck entwickelt. Er bietet KMU eine standardisierte, bedarfsgerechte Beratung durch IT-Dienstleister. Nun schulte die Cybersicherheitsbehörde des Bundes erstmals mehr als 60 IT-Dienstleister für die Anwendung des neuen Verfahrens. 中小企業のサイバー耐性を高めるために、連邦情報セキュリティ局(BSI)はパートナーと共同でサイバーリスクチェックを開発した。これは、ITサービス・プロバイダーによる標準化されたニーズに基づいたアドバイスを中小企業に提供するものである。連邦サイバーセキュリティー局は現在、60社以上のITサービス・プロバイダーに対し、この新しい手順の使用方法を初めて指導している。
Die Bedrohungslage im Cyberraum ist besorgniserregend. Die Anzahl der Angriffe auf Wirtschaftsunternehmen steigt stetig an und kriminelle Attacken verursachen Rekordschäden. Auch kleine und mittlere Unternehmen sind zunehmend von Cyberattacken betroffen. Dabei werden KMU meist nicht zielgerichtet zum Opfer, sondern von großflächig und automatisiert durchgeführten Angriffen getroffen. Viele KMU würden daher gerne mehr für ihre IT-Sicherheit tun, wissen aber oftmals nicht wie. サイバー空間における脅威の状況は憂慮すべきものである。営利企業を狙った攻撃の数は着実に増加しており、犯罪的攻撃は記録的な被害をもたらしている。中小企業もサイバー攻撃の影響を受けるようになっている。中小企業は通常、被害者として狙われることはないが、大規模で自動化された攻撃によって打撃を受ける。そのため、多くの中小企業はITセキュリティにもっと力を入れたいと考えているが、その方法がわからないことが多い。
Der CyberRisikoCheck ermöglicht einem Unternehmen eine Positionsbestimmung des eigenen IT-Sicherheitsniveaus und zeigt auf, welche konkreten Maßnahmen ein Unternehmen umsetzen bzw. bei einem IT-Dienstleister beauftragen sollte. 64 IT-Sicherheitsdienstleister aus ganz Deutschland haben sich nun für die Durchführung des CyberRisikoChecks in Bonn schulen lassen. Die Teilnahme an der Schulung ist Voraussetzung für die Nutzung einer Software, die das BSI IT-Dienstleistern für die Durchführung des CyberRisikoChecks zur Verfügung stellt. Das BSI gewinnt aus dem Verfahren anonymisierte Erhebungsdaten, die zur Generierung eines Informationssicherheitslagebildes für KMU genutzt werden. CyberRiskCheckは、企業が自社のITセキュリティ・レベルを判断し、具体的にどのような対策を実施すべきか、あるいはITサービス・プロバイダーに依頼すべきかを示すものである。現在、ドイツ全土から集まった64のITセキュリティ・サービス・プロバイダーが、ボンでCyberRiskCheckを実施するためのトレーニングを受けている。トレーニングへの参加は、BSIがITサービス・プロバイダーに提供するCyberRiskCheckを実施するためのソフトウェアを使用するための前提条件である。BSIは、この手順から匿名化された調査データを入手し、中小企業の情報セキュリティ状況マップの作成に使用する。
BSI-Präsidentin Claudia Plattner: „Der CyberRisikoCheck ist ein echtes Win-Win-Win-Produkt: für die kleinen Unternehmen, für die IT-Dienstleister und für das BSI. Damit haben wir den Grundstein für ein KMU-Cybersicherheitslagebild gelegt, und das ist ein wichtiger Schritt auf dem Weg zur Cybernation Deutschland. Wir freuen uns, dass schon jetzt mehr als 120 weitere IT-Dienstleister ihr Interesse an einer Durchführung es CyberRisikoChecks bekundet haben.“ BSIのクラウディア・プラットナー会長:「CyberRiskoCheckは、中小企業にとっても、ITサービス・プロバイダーにとっても、BSIにとっても、まさにWin-Win-Winの製品である。こうして我々は、中小企業のサイバーセキュリティ状況マップの基礎を築き、ドイツをサイバー国家にするための重要な一歩を踏み出した。すでに120社以上のITサービス・プロバイダーがサイバーリスクチェックへの参加に関心を示していることをうれしく思う。
Weitere Schulungstermine sind in Vorbereitung und werden zeitnah durch das BSI veröffentlicht. さらなるトレーニングの日程は現在準備中であり、近い将来BSIによって公表される予定である。

 

CyberRisikoCheck

CyberRisikoCheck サイバーリスクチェック
Wirkungsvoller Schutz für kleine und Kleinstunternehmen
nach DIN SPEC 27076
中小・零細企業のための効果的な保護
DIN SPEC 27076に準拠
Viele kleine und mittlere Unternehmen (KMU) würden gerne mehr für ihre IT-Sicherheit unternehmen, wissen aber oftmals nicht wie. Bereits existierende Standardwerke zum Aufbau eines Informationssicherheitsmanagementsystems, wie das IT-Grundschutz-Kompendium des BSI oder die Norm ISO/IEC 27001, sind insbesondere für Unternehmen mit weniger als 50 Beschäftigen nicht optimal geeignet. 多くの中小企業(SME)は、ITセキュリティにもっと力を入れたいと考えているが、その方法がわからないことが多い。BSIのITベースライン保護大要やISO/IEC 27001規格など、情報セキュリティマネジメントシステムを構築するための既存の標準作業は、従業員50人未満の企業には理想的に適していない。
Konsortium zur Erarbeitung einer DIN SPEC DIN SPEC開発コンソーシアム
Um auch kleine und mittlere Unternehmen zu unterstützen, wurde in Kooperation mit dem Bundesverband mittelständische Wirtschaft (BVMW) ein Konsortium zur Erarbeitung einer DIN SPEC gegründet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) leitete das Konsortium, der BVMW übernahm die stellvertretende Leitung. Insgesamt waren fast 20 weitere Partner beteiligt, u. a. das Deutsche Institut für Normung (DIN), Wirtschaftsförderungen, eine Tochter des Gesamtverbandes der deutschen Versicherungswirtschaft, IT-Grundschutz-Expertinnen und -Experten, -Auditorinnen und -Auditoren sowie Fachkundige zum Thema Datenschutz und IT-Dienstleister. Finanziert wurde das Projekt durch das Bundesministerium für Wirtschaft und Klimaschutz im Rahmen des Programmes "Mittelstand Digital". 中小企業も支援するため、ドイツ中小企業協会(BVMW)と協力して、DIN SPECを策定するコンソーシアムが設立された。連邦情報セキュリティ局(BSI)がコンソーシアムを主導し、BVMWが副リーダーを務めた。その他、ドイツ標準化協会(DIN)、ビジネス開発機関、ドイツ保険協会の子会社、ITベースライン保護の専門家、監査人、データ保護分野の専門家、ITサービスプロバイダーなど、合計20社近くのパートナーが参加した。このプロジェクトは、連邦経済・気候保護省の「ミッテルスタンド・デジタル」プログラムの一環として資金提供された。
Ergebnis der achtmonatigen Arbeit des Konsortiums ist die DIN SPEC 27076 "IT-Sicherheitsberatung für kleine und Kleinstunternehmen" und der darauf basierende CyberRisikoCheck. Durch diesen können KMU bei IT-Dienstleistern eine standardisierte Beratung erhalten, die speziell auf ihre Bedürfnisse angepasst ist. In der DIN SPEC wurden auch die Handlungsempfehlungen für KMU standardisiert. Dadurch wissen sowohl Auftraggeber als auch Auftragnehmer, welche Leistung zu erwarten bzw. zu erbringen ist. コンソーシアムの8カ月にわたる作業の成果は、DIN SPEC 27076「中小・零細企業向けITセキュリティ・コンサルティング」と、それに基づくサイバー・リスク・チェックである。これにより、中小企業はITサービス・プロバイダーから自社のニーズに合わせた標準的なアドバイスを受けることができる。また、中小企業向けの対策勧告もDIN SPECで標準化されている。その結果、発注者と請負業者の双方が、どのようなサービスを期待し提供すべきかを知ることができる。
Durchführung des CyberRisikoChecks サイバーリスクチェックの実施
Beim CyberRisikoCheck befragt ein IT-Dienstleister ein Unternehmen in einem ein- bis zweistündigen Interview zur IT-Sicherheit im Unternehmen. Darin werden 27 Anforderungen aus sechs Themenbereichen daraufhin überprüft, ob das Unternehmen sie erfüllt. Für die Antworten werden nach den Vorgaben der DIN SPEC Punkte vergeben. Als Ergebnis erhält das Unternehmen einen Bericht, der u. a. die Punktzahl und für jede nicht erfüllte Anforderung eine Handlungsempfehlung enthält. Die Handlungsempfehlungen sind nach Dringlichkeit gegliedert und erhalten Hinweise darauf, welche staatlichen Fördermaßnahmen (auf Bundes-, Landes- und kommunaler Ebene) das jeweilige Unternehmen in Anspruch nehmen kann. Der CyberRiskoCheck ist keine IT-Sicherheitszertifizierung. Er ermöglicht einem Unternehmen jedoch eine Positionsbestimmung des eigenen IT-Sicherheitsniveaus und zeigt auf, welche konkreten Maßnahmen ein Unternehmen umsetzen bzw. bei einem IT-Dienstleister beauftragen sollte. サイバーリスクチェックでは、ITサービスプロバイダーが1~2時間の面談で企業のITセキュリティについて質問する。この面談では、6つの対象分野から27の要件がチェックされ、企業がその要件を満たしているかどうかが確認される。DIN SPEC仕様に従った回答にはポイントが与えられる。その結果、企業は、特に未充足の各要件に対する得点と措置勧告を含む報告書を受け取る。行動勧告は、緊急度に応じて分類され、各企業が利用できる政府の支援策(連邦、州、自治体レベル)に関する情報が含まれている。サイバーリスク・チェックはITセキュリティ認証ではない。しかし、企業が自社のITセキュリティ・レベルを判断することを可能にし、企業が実施すべき、あるいはITサービス・プロバイダーに委託すべき具体的な対策を示すものである。
Vorteile für alle Beteiligten すべての関係者にとってのメリット
Die Kosten für einen CyberRisikoCheck entsprechen den Kosten eines Beratertages. Auf Bundesebene werden der Check und sich daran anschließende Handlungsempfehlungen bereits jetzt über das Programm "go-digital" mit 50 Prozent bezuschusst. Mehrere Bundesländer haben ebenfalls eine Förderbereitschaft signalisiert. Da das BSI die anonymisierten Erhebungsdaten der CyberRisikoChecks erhalten wird, kann das Nationale IT-Lagezentrum zukünftig erstmals auf valide Daten zur Cyber-Sicherheit von KMU zurückgreifen und in die BSI-Berichte zur Cyber-Sicherheitslage mit aufnehmen. Der CyberRisikoCheck trägt damit zur Weiterentwicklung präventiver Angebote von Bund, Ländern und Kommunen be. サイバーリスクチェックの費用は、コンサルタントの1日分の費用に相当する。連邦レベルでは、チェックとそれに続く対策勧告に対して、「go-digital」プログラムを通じてすでに50%の補助金が出されている。また、いくつかの連邦州も資金提供の意向を示している。BSIはサイバーリスクチェックから匿名化された調査データを受け取るため、国家IT状況センターは初めて中小企業のサイバーセキュリティに関する有効なデータにアクセスすることができ、サイバーセキュリティ状況に関するBSIの報告書に含めることができる。このように、CyberRiskCheckは、連邦政府、州政府、地方政府が提供する予防サービスのさらなる発展に貢献している。
Schulungen für die Nutzung der Software zur Durchführung des CyberRisikoChecks CyberRiskCheckを実施するためのソフトウェアを使用するためのトレーニング
Am 21.03.2024 hat die erste Schulungsveranstaltung für die Nutzung der Software zur Durchführung des CyberRisikoChecks als Präsenzveranstaltung im BSI in Bonn stattgefunden. Weitere Schulungsveranstaltungen befinden sich in Vorbereitung, die Termine werden in Kürze hier veröffentlicht. 2024年3月21日、CyberRiskCheckを実施するためのソフトウェアを使用するための最初のトレーニングイベントが、ボンのBSIで対面式イベントとして開催された。更なるトレーニングイベントの準備が進められており、その日程は近日中にここに公表される予定である。
Die DIN SPEC 27076 kann von IT-Dienstleistern und weiteren Interessierten beim Beuth-Verlag nach vorhergehender Anmeldung kostenfrei heruntergeladen werden. DIN SPEC 27076は、ITサービス・プロバイダーやその他の関係者が事前登録の上、Beuth-Verlag社から無料でダウンロードすることができる。

 

関連...

Weitere Informationen その他の情報
Förderdatenbank Bundesministerium für Wirtschaft und Klimaschutz 資金調達データベース 連邦経済・気候保護省
Bundesministerium für Wirtschaft und Klimaschutz, Förderprogramm "go digital" 連邦経済・気候保護省「デジタル化」助成プログラム
Beuth Verlag, DIN SPEC 27076:2023-05 ボイト出版社、DIN SPEC 27076:2023-05
mIT Standard sicher mIT標準書庫

 

この制度のページ???

mIT標準書庫...

mIT Standard sicher

サイバーセキュリティを会社で始める:サイバーリスクチェックについて知っておくべきこと



詳細...

Was ist der CyberRisiko-Check?

 

・・ステップ1:無料資料

プロセスの詳細、内容、手順について確認し、最適な準備を行う。説明ビデオに加え、サイバーリスクチェックの最適な準備とフォローアップのためのパンフレットとチェックリストが役立つ。

 

・・ステップ2:資金調達の機会の確認

資金調達ポットを利用することで、サイバーリスクチェックをさらに有利にする様々な方法がある。連邦および州レベルでの様々な資金提供の機会について概要をまとめた。

 

・・ステップ3:適切なITサービス・プロバイダーを見つける

サイバー・リスク・チェックを提供するITサービス・プロバイダーは全国に数百社ある。一旦プロバイダが決まれば、全プロセスを案内してくれる。私たちのディレクトリでは、あなたが連絡することができるサービスプロバイダの概要を見つけることができる。

 


 

無料資料

DIN 規格 27076

DIN SPEC 27076



 

情報パンフレット

イバーリスクチェックとは?

Was ist der CyberRiskio-Check

 

サイバーリスクチェックの前に:最適な準備

小規模企業がサイバーリスクチェックの前に考慮すべきこと

サイバーリスクチェックの前に:最適な準備

Vor dem CyberRisiko-Check: Optimal vorbereitet

 

サイバーリスクチェックを終えて:成功裏の結論

小規模の企業は的を絞った方法で継続する。

Nach dem CyberRisiko-Check: Ein erfolgreicher Abschluss

 

ITサービス・プロバイダー向けガイド

サイバーリスクチェック適用ガイドライン

Leitfaden für IT-Dienstleistungsunternehmen

 

簡単に説明:小規模企業にとってのサイバーリスクチェックのメリット

サイバーリスクチェックで中小企業のサイバーセキュリティに取り組む方法

 

 

簡単に説明:ITサービスプロバイダーがサイバーリスクチェックを正しく適用する方法

ITサービスプロバイダー向け:サイバーリスクチェックを実施する際に考慮すべきこと。

 

 

 


 

中小企業、小事業向けのサイバーセキュリティ対策関連...

まるちゃんの情報セキュリティ気まぐれ日記

・2024.03.25 米国 NIST NIST IR 7621 Rev. 2(初期ドラフト)プレドラフト意見募集|「小事業の情報セキュリティ: 基礎編」

・2024.03.16 経済産業省 サイバーセキュリティお助け隊サービスの新たな類型(2類)の創設に係るサービス基準の改定版の公開

・2024.03.07 米国 NSIT サイバーセキュリティ・フレームワーク(CSF)2.0 関連 SP 1299, 1300, 1301, 1302, 1303, 1305 (2024.02.26)

 (SP1300が中小企業向けです...)

・2023.10.24 米国 CISA 中小企業向け:強靭なサプライチェーンリスクマネジメント計画策定のためのリソースガイド

・2023.07.13 英国 小規模企業のサイバーセキュリティをサポート:サイバーアドバイザリー制度 (2023.04.17)

・ 

 

 

|

« ドイツ 医療現場におけるサイバーセキュリティ:BSIの研究が示す緊急対策の必要性 | Main | ドイツ 政治選挙以外の選挙向けオンライン投票製品の認証を開始... »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ドイツ 医療現場におけるサイバーセキュリティ:BSIの研究が示す緊急対策の必要性 | Main | ドイツ 政治選挙以外の選挙向けオンライン投票製品の認証を開始... »