経済産業省が実施予定 企業のサイバーセキュリティ対策格付け制度とは?
はじめに
※本記事は2024年7月時点の情報をもとに執筆しております。セキュリティ対策レベルの評価制度を格付け制度としていますが、評価制度については今後議論が進む予定であり、制度の名称や表現は変更される場合があります。
経済産業省が提案するサイバーセキュリティ対策の格付け制度とは
その内容は、業種や企業規模に応じて企業のセキュリティ対策レベルを評価し、成熟度として可視化するというものです。現在のイメージでは、成熟度は5段階となっています。
格付け制度の仕組みは、既存のセキュリティの評価制度やガイドラインを取り入れて検討される予定です。制度の例としては、2024年度中に一部運用が開始される予定の「IoTセキュリティ適合性評価制度」が挙げられます。またさまざまなガイドラインを含め、一元的な体系化が試みられます。
格付け制度の背景にあるのは「サプライチェーン攻撃」
セキュリティ対策の格付け制度の背景には、サプライチェーン攻撃の増加があります。サプライチェーンとは、商品の企画・開発~調達~製造~在庫管理~物流~販売までの一連の流れ、およびこの流れに関わる企業やグループなどの組織を指します。サプライチェーン攻撃は、このサプライチェーンを悪用したものです。悪意ある第三者は、セキュリティ対策が強固な企業を狙わず、サプライチェーンを構成するセキュリティ対策が手薄な関連企業を狙います。
2023年にIPAが公表した「情報セキュリティ10大脅威 2023」では、組織ランキングにおいて「サプライチェーンの弱点を悪用した攻撃」は第2位でした。サプライチェーン攻撃が今、セキュリティの脅威のなかでも注目されていることがわかります。
参考コラム:いま警戒すべきサプライチェーン攻撃とは?手口や実例、対策を解説 |
参考コラム:ハードウェアの脆弱性(2)-ハードウェア脆弱性対策がサプライチェーン・セキュリティを構成する一つの要素 |
サプライチェーン攻撃の手法
サプライチェーン攻撃には、主に下記の3種類があります。
ソフトウェアサプライチェーン攻撃
一般に提供されているソフトウェアやアップデートプログラムに不正なコードを混入し、その後、ソフトウェアを利用する組織へ不正に侵入を行う攻撃です。
サービスサプライチェーン攻撃
ITシステムの保守を行うMSPなどのサービス事業者を攻撃し、サービスを利用する組織へ被害をおよぼします。
ビジネスサプライチェーン攻撃
標的となる組織のグループ組織や子会社、業務提携先や取引先などのITシステムを侵害し、それらを踏み台として標的組織へ侵入する攻撃です。
サプライチェーン攻撃は情報セキュリティ10大脅威の上位
サプライチェーン攻撃は、独立行政法人 情報処理推進機構(IPA)が公表している「情報セキュリティ10大脅威」の「組織」部門において、2019年より6年連続でランクインしています。「情報セキュリティ10大脅威 2024」では前年に引き続き2位となっており、今後も脅威となり続けることが予想されます。
参考コラム:2023年はどんなセキュリティ事故が起きた?被害事例をご紹介 |
外部から判断できるセキュリティ対策レベルを新設
サプライチェーン攻撃の特徴は、標的となる組織が高いセキュリティレベルを有していて外部からの侵入が難しい場合でも、セキュリティレベルの低い関連組織や取引先を狙えば、標的組織への攻撃が可能となる点です。
攻撃を防ぐためには、企業の関連企業や取引先にもセキュリティ対策水準を満たしてもらわなければなりません。しかしセキュリティに関するガイドラインは既に複数存在しており、企業や業界によって対策の水準が異なります。そのため、水準への準拠を求めると相手企業の負担が膨大になる可能性があります。さらに相手企業が対策の水準を満たしているのかどうか、実際の対策状況を判断することが難しい点も課題の1つです。
そこで既存のフレームワークやガイドライン、諸外国で発案されているセキュリティの考え方、業種や規模ごとに異なるサプライチェーンの実態などを踏まえて、対策レベルを可視化する制度を新設することになったのです。
企業のセキュリティ対策レベルを格付けする5段階のイメージ
なお現状の格付け制度は名称を含めて仮のイメージです。今後議論が進み、内容が変更となる可能性があるのでご注意ください。
レベル1,2(一つ星、二つ星):企業に最低限求める対策
現時点では企業に最低限求める対策が想定されています。認定方法は自己宣言型とみられます。
レベル3(三つ星、★3):サプライチェーン形成企業としての最低限満たすべき基準
レベル3は、サプライチェーンを形成する企業がセキュリティ対策等を最低限満たしている状態です。IPAが発行する「中小企業の情報セキュリティ対策ガイドライン」に準拠していることを認定するもので、こちらも外部からの認定ではなく自己宣言となります。
レベル4(四つ星、★4):サプライチェーン形成企業としての標準的な基準
レベル4は、サプライチェーン形成企業としてセキュリティ対策等を標準的に満たしている状態で、各業界のセキュリティ対策ガイドラインなどに準拠していることを確認します。認証の方法は、外部組織による第三者認証です。
レベル5(五つ星、★5):重要インフラ及び関連サプライヤーが満たすべき基準
レベル5は、経済安全保障上重要なインフラ事業者や関連企業を対象に、セキュリティ対策等を高いレベルで満たしている状態です。内閣サイバーセキュリティセンターが公表している「重要インフラのサイバーセキュリティに係る行動計画」などに準拠していることを確認します。認証の方法は、外部組織による第三者認証です。
セキュリティ対策格付け制度によって予想される企業への影響
IPAの「2021年度 中小企業における情報セキュリティ対策に関する実態調査」によると、IT投資の状況について、「投資を行っていない」と回答した企業は30%程度です。「何からはじめるべきかわからない」と回答した企業もあり、中小企業によっては、セキュリティ対策の徹底が浸透していないことが示されています。今後より明確な格付け制度が新設されることにより、実効性の高い対策を実施できるようになるでしょう。
一方、業種や企業規模に関わらない格付け制度によって、自社のセキュリティ対策レベルが可視化されることとなります。格付けレベルがセキュリティ面で安全な取引先を選択する際の判断基準になるなど、企業としての信頼度に大きく影響することが予想されます。
企業に求められるサイバー攻撃への対応とは
新設される格付け制度は、既存のガイドラインを取りまとめる形で作成される予定です。現時点では組織に適切なガイドラインを選定して、セキュリティ対策の現状を把握し、リスクアセスメントに引き続き努めることが肝要です。
まとめ
アクセリアでは、セキュリティサービスを提供しています。企業におけるサイバーセキュリティ上の課題の洗い出しや対策、サポートなどが必要となる際は、アクセリアまでお問い合わせください。
◆参考サイト
・第8回「産業サイバーセキュリティ研究会」を開催しました|経済産業省
https://www.meti.go.jp/press/2024/04/20240405003/20240405003.html
・第8回産業サイバーセキュリティ研究会事務局説明資料|経済産業省
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/pdf/008_03_00.pdf
・企業、サイバー対策5段階で格付け 経産省、25年度にも 取引先の対応力を可視化|日本経済新聞
https://www.nikkei.com/article/DGKKZO79801900U4A400C2EP0000/
・情報セキュリティ10大脅威 2024|IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/10threats/10threats2024.html
・「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について |IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/reports/sme/about.html
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
平日09:30 〜 18:00
Free Service