サプライチェーンのセキュリティ強化に向けたサイバー攻撃対応力の格付け
2024年4月5日、経済産業省より発表された「第8回 産業サイバーセキュリティ研究会」の開催概要の中で、新たなサイバーセキュリティ政策の方向性が提示された。方向性の一つとして盛り込まれていた「サプライチェーン企業のセキュリティ対策レベルを評価・可視化する仕組みの検討」は、企業のセキュリティ対策が格付けされるということでニュースでも取り上げられていたので、知っている人もいるのではないだろうか。今回は、格付けの検討が進んでいる背景や、現在公開されている情報の範囲で最低限どのようなセキュリティ対策が必要になるのかを考えてみたい。
格付け検討の背景
第8回 産業サイバーセキュリティ研究会では「サプライチェーン強化に向けたセキュリティ・アーキテクチャの検討」ということで、格付けの仕組みが議題になっている。この検討が進んでいる背景としては以下のようなことが挙げられるだろう。
・サプライチェーンを介したセキュリティ被害の拡大
・多発する重要インフラに関わるサイバー攻撃事案
・外部からの対策状況確認の困難さと、異なる取引先からのさまざまな対策水準要求
・ESG ※1 投資の拡大に伴う、コーポレートガバナンスおよびエンタープライズリスクマネジメント改善への投資家の関心の高まり
・諸外国のサイバー対策レーティングなどへの同期
1点目の被害拡大については、情報処理推進機構(IPA)「情報セキュリティ10大脅威 2024」の組織編で「サプライチェーンの弱点を悪用した攻撃」が2位になっていることからも深刻さが伺えるだろう。取引先や業務委託先、ソフトウェア開発元やサービス提供業者など、サプライチェーンの中でセキュリティ対策が脆弱な組織が狙われているのだ。
※1 Environment,Social,Governance:企業が長期的に成長するために欠かせない三つの観点、環境・社会・ガバナンス。
求められる対策レベルの考察
格付けは5段階評価となる可能性が高いと考えている。第8回 産業サイバーセキュリティ研究会の資料には、三つ星(★3)〜五つ星(★5)までの3段階の記載しかないが、一つ星(★1)、二つ星(★2)といえば、2017年から運用開始されているIPAのSECURITY ACTION制度(サイバー攻撃による事業停止が起きにくい環境にすることと、顧客や取引先に安心を与えることを目的にした制度)がある。この制度にのっとって情報セキュリティ対策に取り組むことを自己宣言している事業者数は約34万に達している。また、五つ星(★5)についても、2024年5月17日から運用が開始されている内閣府「基幹インフラ役務の安定的な提供の確保に関する制度」でリスク管理措置の項目が提示されている。格付けされる事業者側としては、これらを考慮した仕組みにしてもらうことが現実的だ。仮にこれらの制度を組み合わせて5段階で整理すると図のようなイメージになる。
想定される最低限の要求事項と必要性
一つ星(★1)で挙げている「情報セキュリティ5か条」の項目と対策案を示す。これが最低限実施すべきレベルだと想定される。
(1)OSやソフトウェアは常に最新の状態にする
常時、ソフトウェア(OSやWi-Fiルーター、VPNなどネットワーク機器のファームウェアを含む)の脆弱性パッチプログラムが出ているか人手で確認することは現実的でない。そのため、ソフトウェアとその修正プログラムの発行状況を常時監視しアラートを上げる脆弱性管理ツールが必要となる。
(2)ウイルス対策ソフトウェアを導入する
Windows DefenderなどOSに標準搭載されているものを有効活用もできる。ただし、それだけではマルウェアがすり抜けることがあるため、EDRなどすり抜けた際の対処も必要だ。
(3)パスワードを強化する
パスワードのルールを策定し組織内に展開するとともに、全てのソフトウェアのパスワードに適用する必要がある。
(4)共有設定を見直す
従業員のID管理や共有端末のアクセス権設定ルールを策定し組織内に展開するとともに、ID管理状況と共有端末の設定を見直す必要がある。Administratorアカウントの使い回し禁止、従業員の異動や退職時のアカウント削除など、厳密なルール策定が必要であり、セキュリティベンダーのセキュリティポリシー策定支援サービスなどを活用するのが現実的だ。
(5)脅威や攻撃の手口を知る
IPAの「情報セキュリティ10大脅威 2024」や総務省の「インターネットに潜む脅威」などを活用すると良い。
ランサムウェアなどのサイバー攻撃は、ソフトウェアの脆弱性や脆弱なパスワード認証、メールなどを足掛かりに侵入し、侵入後はさらに脆弱な個所を見つけ出し拡散や情報窃取を行う。そのためこの5カ条は非常に重要だ。大手企業においてもいまだにサイバー攻撃を受けているのは、この5カ条のいずれかが徹底されていないことがほとんどだ。対策の成熟度に関わらず、この5カ条を徹底できているかいま一度確認してほしい。
<参考資料>
※経済産業省、IPA「サイバーセキュリティ経営ガイドライン」
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
※経済産業省「第8回 産業サイバーセキュリティ研究会事務局説明資料」
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/pdf/008_03_00.pdf
※内閣官房「経済安全保障推進法の審議・今後の課題等について」
https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyohousei/r4_dai1/siryou3.pdf
※IPA「SECURITY ACTIONとは?」
https://www.ipa.go.jp/security/security-action/sa/index.html
※IPA「中小企業の情報セキュリティ対策ガイドライン」
https://www.ipa.go.jp/security/guide/sme/about.html
※経済産業省「産業サイバーセキュリティ研究会」
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/
※内閣サイバーセキュリティセンター「重要インフラのサイバーセキュリティの確保に関する主な資料」
https://www.nisc.go.jp/policy/group/infra/siryou/index.html#si01
※内閣府「基幹インフラ役務の安定的な提供の確保に関する制度」
https://www.cao.go.jp/keizai_anzen_hosho/infra.html
※総務省「国民のためのサイバーセキュリティサイト」
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/basic/risk/