03-5211-7750 平日|09:30~18:00

経済産業省が実施予定 企業のサイバーセキュリティ対策格付け制度とは?

           

サービス資料や
ホワイトペーパーはこちら

           資料を【無料】ダウンロードFREE

はじめに

企業や組織を狙うサイバー攻撃が日常化・複雑化する一方で、その対策も多様なものとなっています。それゆえ、企業としては自社のセキュリティ対策が万全なのかわからない、異なる取引先からさまざまな対策水準を要求される、外部からは企業のセキュリティ対策のレベルがわからない、といった課題が存在しています。そこで経済産業省は、サイバーセキュリティ対策の評価・格付け制度を取りまとめ、2025年度中に実施することを発表しました。この記事では、企業のサイバーセキュリティ対策格付け制度について想定されている内容や実施の背景などをご紹介します。

※本記事は2024年7月時点の情報をもとに執筆しております。セキュリティ対策レベルの評価制度を格付け制度としていますが、評価制度については今後議論が進む予定であり、制度の名称や表現は変更される場合があります。

パケットキャプチャ型セキュリティレポートサービスのCTA

経済産業省が提案するサイバーセキュリティ対策の格付け制度とは

経済産業省では、産業界におけるサイバーセキュリティの方向性を議論することを目的とし、有識者による「産業サイバーセキュリティ研究会」を設置しています。2024年4月5日に開催された第8回産業サイバーセキュリティ研究会においては、サイバーセキュリティ対策の格付け制度が新設されることと、制度の具体的なイメージが公表されました。

その内容は、業種や企業規模に応じて企業のセキュリティ対策レベルを評価し、成熟度として可視化するというものです。現在のイメージでは、成熟度は5段階となっています。

格付け制度の仕組みは、既存のセキュリティの評価制度やガイドラインを取り入れて検討される予定です。制度の例としては、2024年度中に一部運用が開始される予定の「IoTセキュリティ適合性評価制度」が挙げられます。またさまざまなガイドラインを含め、一元的な体系化が試みられます。

格付け制度の背景にあるのは「サプライチェーン攻撃」

サプライチェーンのイメージ
セキュリティ対策の格付け制度の背景には、サプライチェーン攻撃の増加があります。サプライチェーンとは、商品の企画・開発~調達~製造~在庫管理~物流~販売までの一連の流れ、およびこの流れに関わる企業やグループなどの組織を指します。サプライチェーン攻撃は、このサプライチェーンを悪用したものです。悪意ある第三者は、セキュリティ対策が強固な企業を狙わず、サプライチェーンを構成するセキュリティ対策が手薄な関連企業を狙います。

2023年にIPAが公表した「情報セキュリティ10大脅威 2023」では、組織ランキングにおいて「サプライチェーンの弱点を悪用した攻撃」は第2位でした。サプライチェーン攻撃が今、セキュリティの脅威のなかでも注目されていることがわかります。
 参考コラム:いま警戒すべきサプライチェーン攻撃とは?手口や実例、対策を解説

 参考コラム:ハードウェアの脆弱性(2)-ハードウェア脆弱性対策がサプライチェーン・セキュリティを構成する一つの要素


サプライチェーン攻撃の手法


サプライチェーン攻撃には、主に下記の3種類があります。

ソフトウェアサプライチェーン攻撃


一般に提供されているソフトウェアやアップデートプログラムに不正なコードを混入し、その後、ソフトウェアを利用する組織へ不正に侵入を行う攻撃です。

サービスサプライチェーン攻撃


ITシステムの保守を行うMSPなどのサービス事業者を攻撃し、サービスを利用する組織へ被害をおよぼします。

ビジネスサプライチェーン攻撃


標的となる組織のグループ組織や子会社、業務提携先や取引先などのITシステムを侵害し、それらを踏み台として標的組織へ侵入する攻撃です。

サプライチェーン攻撃は情報セキュリティ10大脅威の上位


サプライチェーン攻撃は、独立行政法人 情報処理推進機構(IPA)が公表している「情報セキュリティ10大脅威」の「組織」部門において、2019年より6年連続でランクインしています。「情報セキュリティ10大脅威 2024」では前年に引き続き2位となっており、今後も脅威となり続けることが予想されます。
 参考コラム:2023年はどんなセキュリティ事故が起きた?被害事例をご紹介


ECONOSECアーカイブ


外部から判断できるセキュリティ対策レベルを新設


サプライチェーン攻撃の特徴は、標的となる組織が高いセキュリティレベルを有していて外部からの侵入が難しい場合でも、セキュリティレベルの低い関連組織や取引先を狙えば、標的組織への攻撃が可能となる点です。
攻撃を防ぐためには、企業の関連企業や取引先にもセキュリティ対策水準を満たしてもらわなければなりません。しかしセキュリティに関するガイドラインは既に複数存在しており、企業や業界によって対策の水準が異なります。そのため、水準への準拠を求めると相手企業の負担が膨大になる可能性があります。さらに相手企業が対策の水準を満たしているのかどうか、実際の対策状況を判断することが難しい点も課題の1つです。

そこで既存のフレームワークやガイドライン、諸外国で発案されているセキュリティの考え方、業種や規模ごとに異なるサプライチェーンの実態などを踏まえて、対策レベルを可視化する制度を新設することになったのです。

企業のセキュリティ対策レベルを格付けする5段階のイメージ

サイバーセキュリティ対策の格付け制度は、成熟度や相当するガイドラインの種類、ガイドラインに準拠していることを確認する方法が示されています。

なお現状の格付け制度は名称を含めて仮のイメージです。今後議論が進み、内容が変更となる可能性があるのでご注意ください。

対策レベルのイメージ

レベル1,2(一つ星、二つ星):企業に最低限求める対策


現時点では企業に最低限求める対策が想定されています。認定方法は自己宣言型とみられます。

レベル3(三つ星、★3):サプライチェーン形成企業としての最低限満たすべき基準


レベル3は、サプライチェーンを形成する企業がセキュリティ対策等を最低限満たしている状態です。IPAが発行する「中小企業の情報セキュリティ対策ガイドライン」に準拠していることを認定するもので、こちらも外部からの認定ではなく自己宣言となります。

レベル4(四つ星、★4):サプライチェーン形成企業としての標準的な基準


レベル4は、サプライチェーン形成企業としてセキュリティ対策等を標準的に満たしている状態で、各業界のセキュリティ対策ガイドラインなどに準拠していることを確認します。認証の方法は、外部組織による第三者認証です。

レベル5(五つ星、★5):重要インフラ及び関連サプライヤーが満たすべき基準


レベル5は、経済安全保障上重要なインフラ事業者や関連企業を対象に、セキュリティ対策等を高いレベルで満たしている状態です。内閣サイバーセキュリティセンターが公表している「重要インフラのサイバーセキュリティに係る行動計画」などに準拠していることを確認します。認証の方法は、外部組織による第三者認証です。

セキュリティ対策格付け制度によって予想される企業への影響

握手するビジネスパーソン
IPAの「2021年度 中小企業における情報セキュリティ対策に関する実態調査」によると、IT投資の状況について、「投資を行っていない」と回答した企業は30%程度です。「何からはじめるべきかわからない」と回答した企業もあり、中小企業によっては、セキュリティ対策の徹底が浸透していないことが示されています。今後より明確な格付け制度が新設されることにより、実効性の高い対策を実施できるようになるでしょう。

一方、業種や企業規模に関わらない格付け制度によって、自社のセキュリティ対策レベルが可視化されることとなります。格付けレベルがセキュリティ面で安全な取引先を選択する際の判断基準になるなど、企業としての信頼度に大きく影響することが予想されます。

企業に求められるサイバー攻撃への対応とは


新設される格付け制度は、既存のガイドラインを取りまとめる形で作成される予定です。現時点では組織に適切なガイドラインを選定して、セキュリティ対策の現状を把握し、リスクアセスメントに引き続き努めることが肝要です。

WP_セキュリティ実践ガイド

まとめ

この記事では、経済産業省が実施予定のサイバーセキュリティ対策格付け制度について、現時点の情報をご紹介しました。今回の制度は、経済産業省の研究会にて示されたものです。今後の最新情報にも注目しましょう。

アクセリアでは、セキュリティサービスを提供しています。企業におけるサイバーセキュリティ上の課題の洗い出しや対策、サポートなどが必要となる際は、アクセリアまでお問い合わせください。

企業のセキュリティ対策について、お気軽にご相談ください。 企業におけるサイバーセキュリティ上の課題の洗い出しや、対策等についてご相談いただけます。




◆参考サイト
・第8回「産業サイバーセキュリティ研究会」を開催しました|経済産業省
https://www.meti.go.jp/press/2024/04/20240405003/20240405003.html
・第8回産業サイバーセキュリティ研究会事務局説明資料|経済産業省
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/pdf/008_03_00.pdf
・企業、サイバー対策5段階で格付け 経産省、25年度にも 取引先の対応力を可視化|日本経済新聞
https://www.nikkei.com/article/DGKKZO79801900U4A400C2EP0000/
・情報セキュリティ10大脅威 2024|IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/10threats/10threats2024.html
・「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について |IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/reports/sme/about.html

アクセリア

サービス事業部
Contact usお問い合わせ

サービスにご興味をお持ちの方は
お気軽にお問い合わせください。

Webからお問い合わせ

お問い合わせ

お電話からお問い合わせ

03-5211-7750

平日09:30 〜 18:00

Download資料ダウンロード

製品紹介やお役立ち資料を無料でご活用いただけます。

Magazineメルマガ登録

最新の製品情報などタイムリーな情報を配信しています。

Free Service

PageSpeed Insights シミュレータ

CDNによるコンテンツの最適化を行った場合のPageSpeed Insightsのスコアをシミュレートしてレポートします。