![エンタープライズIT [COLUMNS]](https://ent.iij.ad.jp/wp-content/themes/liquid-smart-child/img/logo.svg){kind=logo}
クラウド設定ミスに起因する情報…
経済産業省が検討するセキュリティ対策評価(格付け)制度の現状と展望
エンドポイントセキュリティを中心に幅広い分野でマネージドサービスの立ち上げ・推進に従事。XDRスペシャリストとして企業のデジタル化に必要な新しいセキュリティの在り方を支援。また昨今では、ワークショップ“IIJ Sketch & Draw Workshop”を通じ、エバンジェリストとして、大手から中堅企業を中心に約100社以上にわたるセキュリティ戦略や投資、対策の見直しをサポート。
執筆・監修者ページ/掲載記事:6件
サプライチェーンを通じたセキュリティリスクの深刻化を受け、2024年、経済産業省は企業のセキュリティ対策を5段階で格付けする新たな制度を検討中であることを発表しました。この「サプライチェーン強化に向けたセキュリティ対策評価制度」の経緯、概要、検討状況を踏まえ、評価制度の施行を見据えた上で、企業が現時点で取るべき対策の考え方について解説します。
※本記事の内容は2024年11月28日時点の公表情報に基づいており、今後の検討により内容が変更される可能性があります。
4つのレベル別に解説!
セキュリティ運用体制検討ガイドブックダウンロード(無料)
セキュリティ運用体制検討ガイドブックダウンロード(無料)
セキュリティ対策のモヤモヤを
「共に考え解決する」ワークショップ(無料)詳細
「共に考え解決する」ワークショップ(無料)詳細
評価制度検討の背景
近年、サイバーセキュリティ対策は企業にとって極めて重要な経営課題です。特に、サプライチェーンを狙った攻撃や、サプライチェーンに起因するセキュリティ被害は、事業継続にも影響を与えるリスク要因になっています。
サプライチェーン攻撃は、企業間のつながりを利用したサイバー攻撃です。攻撃者は、脆弱な取引先のセキュリティの隙間をついて攻撃を仕掛け、最終的には主要なターゲットである企業に被害を与えます。
サプライチェーン攻撃の被害は年々深刻化しており、情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2024」では、組織編で「サプライチェーンの弱点を悪用した攻撃」が2位にランクインしており、企業における警戒が強まっています。
一方で、企業のセキュリティ対策は、業界や企業規模によって大きな差があり、外部からその状況を正確に把握することが難しいという課題があります。各企業がどの程度の対策を実施しているかを客観的に評価する基準が不足しており、これがサプライチェーン全体のセキュリティ強化を妨げる一因となっています。
このような背景から、経済産業省は企業のセキュリティ対策状況を可視化し、対策レベルが適正か判断するための指標として、「サプライチェーン強化に向けたセキュリティ対策評価制度」の名称で、サプライチェーンにおける企業のセキュリティ対策を評価する新しい制度を設けることの検討を進めています。
評価制度の概要
本制度は、業種を横断して企業のセキュリティ対策レベルを評価する制度で、企業間の比較やサプライチェーン全体の強化を促すことが目的です。評価として企業のセキュリティ対策を5段階に分けて格付けする仕組みが検討されており、対象となる企業や求められる要件は以下のように整理されています。また、評価スキームは既存のガイドラインや認証制度など活用可能なスキームを検討すると前置きした上で、レベル1~3は自己宣言型、レベル4~5は外部組織による第三者認証型とする案も議論されている状況です。
(クリックして拡大)
※出典:サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ第2回(経済産業省、2024年9月)「サプライチェーン対策評価制度の基本構想(案)について」
検討状況
主な検討レベル
本制度においては5段階のレベルでの評価が想定されていますが、レベル1~2は既存のセキュリティアクション宣言制度を流用することを想定しており、本検討の中ではレベル3~5の3段階が言及され、対象や対策項目が検討されている状況です。
各ガイドラインとの関係性
本制度は、既存のサイバーセキュリティガイドラインや認証制度を参考にしつつ、企業の実態に合った評価基準を提供する方向で検討が進められています。例えば、自動車産業に向けた「自工会/部工会・サイバーセキュリティガイドライン」などが具体例として挙げられています。
しかし、既存のガイドラインでは、対策レベルが企業の実態と乖離している部分があり、特に中小企業にとっては対策レベルの基準が高すぎる点が各企業の課題となっています。
そのため、本制度では、企業規模に応じた柔軟な基準を設け、レベル3に該当する企業向けの評価基準を新たに策定する方向で検討が進められています。
※参考:「自工会/部工会・サイバーセキュリティガイドライン 2.2版(2024年)」
(クリックして拡大)
※出典:サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ第1回(経済産業省、2024年7月)「サプライチェーン強化に向けたセキュリティ対策評価制度の構築について(IPA)」
レベル別の対象事業者・適用範囲
各レベルの対象事業者や適用範囲についても議論され、例えばレベル3の対象事業者としては「原則としてサプライチェーンを形成するすべての者」と整理されています。
その判断はビジネス観点を主体としつつも、取引先から発注者内部ネットワークへのアクセスが可能な場合はシステム観点も含めるといった方向性が示されています。
また、対策の観点としては「組織的対策」と「システム的対策」で整理されており、例えばレベル4では、発注者内部ネットワークの接続点も含む想定など、各レベルの適用範囲も整理されていますが、現状では抽象的な表現となっており、具体的な実装範囲は今後検討されていくものと推察されます。
(クリックして拡大)
※出典:サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ第2回(経済産業省、2024年9月)「サプライチェーン対策評価制度の基本構想(案)について」
対策の考え方
本制度では、セキュリティ対策の基本的な考え方として、NISTサイバーセキュリティフレームワーク2.0の6分類に、サプライチェーン対策である「取引先管理」を加えた7分類で整理されています。
(クリックして拡大)
※出典:サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ第2回(経済産業省、2024年9月)「サプライチェーン対策評価制度の基本構想(案)について」
今後の展望
「サプライチェーン強化に向けたセキュリティ対策評価制度」は、企業間でのセキュリティ対策レベルの「可視化」を実現し、サプライチェーン全体のセキュリティ強化に貢献することが期待されています。従来もガイドライン等の整備はされてきましたが、今後はこの評価制度が政府の調達要件として位置付けられる可能性もあり、更には組織や企業間の取引において実効性を持つ基準となる可能性も考えられます。
現時点で企業が対策を行うにあたっては、こうした評価制度の検討状況を把握しつつ、求められる対策の考え方を理解することが重要です。そして、自社に求められるレベルを想定しつつ、リスクを可視化した上で、優先度を設定し、段階的に対策を強化していくことが求められます。
IIJでは、セキュリティレベルを独自に4段階に分類しており、自社のセキュリティレベルを把握するための資料を提供しています。まずは本資料で、現状における大枠の対策レベルを確認されてみるのも良いでしょう。
(クリックして拡大)
更に、現状のセキュリティ対策の「鮮度」をチェックするワークショップを実施しており、リスクの洗い出しや対策強化の優先度設定などセキュリティ強化を無料でサポートしています。
「どこから手を付けていいか分からない」などのお悩みがありましたら、まずはお気軽に事前説明に申し込みの上、可視化や対策強化にご活用ください。
4つのレベル別に解説!
セキュリティ運用体制検討ガイドブックダウンロード(無料)
セキュリティ運用体制検討ガイドブックダウンロード(無料)
セキュリティ対策のモヤモヤを
「共に考え解決する」ワークショップ(無料)詳細
「共に考え解決する」ワークショップ(無料)詳細
- 前の記事
- 次の記事
