【サイバーセキュリティ】セキュリティ中期計画の作り方 ― 3年で何をどの順番でやるべきか
セキュリティ中期計画の作り方 ― 3年で何をどの順番でやるべきか
~場当たり的なセキュリティ対策から脱却し、計画的に体制を構築するための実践ガイド~
「UTMを入れた次は何をすべき?」「EDRも必要? バックアップは? 社員教育も?」――セキュリティ対策に取り組み始めた中小企業の経営者や情シス担当者が、次にぶつかる壁が「全体像が見えない」という問題です。
目の前の脅威に反応して場当たり的に対策を追加していくと、予算の配分が偏り、重要な対策が抜け落ち、結果として非効率な投資になりかねません。
このコラムでは、3年間のセキュリティ中期計画のテンプレートと、各年度で何をどの順番でやるべきかを具体的に解説します。
この記事でわかること
・場当たり的な対策が招く3つの問題
・3年間のセキュリティ中期計画テンプレート(1年目:基盤整備、2年目:技術対策、3年目:高度化)
・各年度の予算イメージとサイバーセキュリティ対策促進助成金の活用タイミング
・中期計画を策定するための実践的な手順
1. 場当たり的な対策が招く3つの問題
問題1:予算が計画的に使えない
「今年UTMを入れたら予算を使い切った。来年はEDRを入れたいが予算が取れるかわからない」――中期計画がないと、各年度のセキュリティ予算を経営層に説明する根拠がなく、予算確保が不安定になります。
問題2:対策に偏りが生じる
ベンダーの営業を受けるたびに製品を導入していると、技術的な対策ばかりが充実して、ポリシー策定や社員教育が手つかずになりがちです。セキュリティ対策は「技術」「ルール」「人」の3つがバランスよく揃って初めて効果を発揮します。
問題3:経営層に説明できない
「なぜこの対策が必要なのか」「いつまでにどこまでやるのか」「投資対効果はどうなのか」――経営層はこれらの質問に対する明確な回答を求めます。中期計画があれば、セキュリティ対策を経営の言葉で説明できます。
2. 3年間のセキュリティ中期計画テンプレート
以下は、これまでセキュリティ対策にほとんど取り組んでいない中小企業を想定した、3年間の中期計画テンプレートです。
| 年度 | テーマ | 主な施策 | 予算イメージ |
|---|---|---|---|
| 1年目 | 基盤整備 | SECURITY ACTION二つ星取得、情報資産棚卸、セキュリティ基本方針策定、全社員研修 | 50万〜100万円 |
| 2年目 | 技術対策 | UTM/EDR導入、バックアップ構築、パスワードポリシー強化、多要素認証導入 | 100万〜300万円 |
| 3年目 | 高度化・定着 | セキュリティ監視体制構築、インシデント対応訓練、定期的な脆弱性診断、見直し | 80万〜200万円 |
1年目:基盤整備 ― まず「土台」を作る
1年目は、技術的な対策に飛びつく前にセキュリティの土台を整えることに注力します。
施策1:SECURITY ACTION二つ星の取得
IPAの自社診断を実施し、情報セキュリティ基本方針を策定・公開します。これはサイバーセキュリティ対策促進助成金の申請要件でもあるため、2年目以降の助成金活用に向けた準備にもなります。
施策2:情報資産の棚卸
自社で管理しているPC、サーバー、クラウドサービス、データの一覧を作成します。「何を守るか」がわからなければ、適切な対策は選べません。
施策3:セキュリティ基本方針・管理規程の策定
セキュリティのルールを文書化します。パスワードの取り扱い、USBメモリの使用制限、インシデント発生時の報告手順などを定めます。
施策4:全社員向けセキュリティ研修の実施
フィッシングメールの見分け方、パスワード管理の基本、不審な事象の報告方法など、全社員が知っておくべき基礎知識を教育します。セキュリティ教育・研修サービスでは1回8万円(税別)からオンラインで実施可能です。
2年目:技術対策 ― 「守る仕組み」を導入する
1年目で整備した土台の上に、具体的な技術対策を導入します。ここがサイバーセキュリティ対策促進助成金の活用に最適なタイミングです。
施策1:UTM(統合脅威管理)の導入
社内ネットワークの境界にUTMを設置し、外部からの不正アクセスやマルウェアの侵入を防ぎます。
施策2:EDR(エンドポイント検知・対応)の導入
全端末にEDRを導入し、不審な挙動をリアルタイムで検知・対処できる体制を構築します。
施策3:バックアップ体制の構築
ランサムウェアに備えて、3-2-1ルールに基づくバックアップ体制を整備します。
施策4:多要素認証の導入
クラウドサービスへのログインに多要素認証を設定し、アカウント乗っ取りのリスクを大幅に低減します。
これらの技術対策は、サイバーセキュリティ対策促進助成金の対象経費になります。対象経費の1/2(最大1,500万円)の助成を受けられるため、2年目の予算負担を大幅に軽減できます。
サイバーセキュリティ対策促進助成金の申請については、申請サポートサービスをご活用ください。製品の選定から申請書作成まで一貫して支援いたします。
3年目:高度化・定着 ― 「守り続ける体制」を確立する
3年目は、導入した対策を継続的に運用・改善する体制を確立する年です。
施策1:セキュリティ監視体制の構築
UTMやEDRのログを定期的に確認し、異常を早期に発見する運用フローを確立します。
施策2:インシデント対応訓練の実施
ランサムウェア感染や情報漏洩を想定したシナリオで、実際の対応手順を訓練します。
施策3:脆弱性診断の実施
外部の専門家に依頼して、自社のネットワークやWebサイトの脆弱性を定期的に診断します。
施策4:中期計画の見直しと次の3年計画の策定
3年間の成果を振り返り、次の3年間の計画を策定します。サイバーセキュリティの脅威は日々進化するため、計画は定期的に見直す必要があります。
3. サイバーセキュリティ対策促進助成金の活用タイミング
3年間の中期計画の中で、サイバーセキュリティ対策促進助成金を最も効果的に活用できるのは2年目です。
| 年度 | サイバーセキュリティ対策促進助成金の活用 |
|---|---|
| 1年目 | 申請準備(SECURITY ACTION二つ星取得、GビズIDプライム取得) |
| 2年目 | 申請・採択・機器導入(UTM、EDR、バックアップ等) |
| 3年目 | 実績報告、追加対策があれば再申請を検討 |
1年目にサイバーセキュリティ対策促進助成金の申請要件を整え、2年目に申請・採択を経て機器を導入する。このスケジュールが最も無理がなく、効果的です。
サイバーセキュリティ対策促進助成金は年に複数回の公募がありますので、2年目の中で申請タイミングを柔軟に選べます。
4. 中期計画を策定するための5つの手順
「テンプレートはわかったが、自社に合った計画はどう作ればいいか」という疑問にお答えします。
手順1:現状のセキュリティ対策を棚卸しする
今、自社でどのような対策を行っているかを一覧にします。「やっていること」と「やっていないこと」を可視化することが出発点です。
手順2:リスクの優先順位をつける
「起きたときの影響が大きい脅威」から優先的に対策します。たとえば、顧客データを扱う企業であれば情報漏洩対策が最優先、製造業であればランサムウェアによる事業停止対策が最優先です。
手順3:3年間のロードマップに落とし込む
優先順位に基づいて、各年度の施策を配置します。前述のテンプレート(1年目:基盤、2年目:技術、3年目:高度化)をベースに、自社の状況に応じてカスタマイズしてください。
手順4:各年度の予算を試算する
各施策にかかる費用を見積もり、年度ごとの予算を算出します。サイバーセキュリティ対策促進助成金を活用する年度は、自己負担額で試算しましょう。
手順5:経営層に報告し、承認を得る
完成した中期計画を経営層に報告し、予算の承認を得ます。「なぜ必要か」「いくらかかるか」「何が得られるか」を明確に説明してください。
中期計画の策定を一人で行うのが難しい場合は、セキュリティ伴走コンサルティング(vCISO)で専門家と一緒に計画を作ることができます。中小企業診断士がセキュリティと経営の両面から助言し、経営層への説明資料の作成もサポートいたします。
もう少し手軽に始めたい場合は、リモートセキュリティ顧問(月額5万円〜)で計画策定のアドバイスを受けることも可能です。
まとめ
セキュリティ対策を場当たり的に進めるのではなく、3年間の中期計画を立てて計画的に実行することで、限られた予算と人員で最大の効果を得られます。
・1年目は基盤整備(SECURITY ACTION、資産棚卸、ポリシー策定、社員教育)
・2年目は技術対策(UTM、EDR、バックアップ等をサイバーセキュリティ対策促進助成金で導入)
・3年目は高度化・定着(監視体制、訓練、脆弱性診断、計画見直し)
・サイバーセキュリティ対策促進助成金は2年目の技術対策導入で最大限に活用する
・計画策定に迷ったら外部の専門家と一緒に作る
アクセルパートナーズへのご相談
セキュリティ中期計画の策定を専門家と一緒に進めませんか?
アクセルパートナーズのセキュリティ伴走コンサルティング(vCISO)では、中期計画の策定からサイバーセキュリティ対策促進助成金の活用、施策の実行支援まで、戦略から実行までフルスコープで伴走いたします。
・「セキュリティ対策の全体像を整理したい」
・「3年間の計画と予算を経営層に説明したい」
・「サイバーセキュリティ対策促進助成金をいつ使うのが効果的か知りたい」
初回60分のZoom相談は無料です。お気軽にお問い合わせください。
お問い合わせ:0120-659-057(平日対応)
参考・出典
・経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」 https://www.meti.go.jp/policy/netsecurity/mng_guide.html
・IPA「中小企業の情報セキュリティ対策ガイドライン 第3.1版」 https://www.ipa.go.jp/security/guide/sme/about.html
・IPA「SECURITY ACTION」制度紹介ページ https://www.ipa.go.jp/security/security-action/
・東京都中小企業振興公社「サイバーセキュリティ対策促進助成金」公式ページ







