このページの本文へ

新たな段階に入るサイバーセキュリティの課題
トピックス・イベントレポート

経済産業省 商務情報政策局
サイバーセキュリティ課長
奥家敏和氏

サイバーセキュリティに対する脅威が多様化、巧妙化する中で、セキュリティに対して企業に求められる姿勢も変わりつつあります。経済産業省の奥家敏和氏は、「新たな段階に入るサイバーセキュリティの課題」と題して、国内及び海外での注目すべき動向を紹介するとともに、さまざまなサイバーセキュリティ脅威に直面する経営者のあり方を示した「サイバーセキュリティ経営ガイドライン」について解説しました。

サプライチェーンにもセキュリティ対策が求められる時代に

サプライチェーンがセキュリティ脅威の入口になる

サイバー攻撃の件数は年々増加しており、標的型攻撃やランサムウェアといった攻撃による被害が増加するなど、サイバーセキュリティにおける脅威はますます増大しています。自社のセキュリティ対策はもちろん重要ですが、海外との取引が拡大する中で、今後新たに注意すべき要因として浮上しているのが、奥家氏の指摘する「サプライチェーンのセキュリティ」です。

2017年前半に世間を賑わせた、ランサムウェア「WannaCry(ワナクライ)」では、日本のいくつかの企業も被害を受けましたが、その感染被害の多くが海外の取引先とのデータ連係によって発生したことがわかっています。奥家氏は、そういった実態を受けて「今後は、取引先や委託先といったサプライチェーンが、セキュリティ脅威の入口となる可能性が高い」と警告しています。

サプライチェーンのセキュリティ対策への関心が薄い国内企業

IPAが行った「企業のCISOやCSIRTに関する実態調査2017」によれば、国内企業は自社のセキュリティ対策の把握状況こそ、欧米とさほど遜色ないものの、委託先のセキュリティ状況の把握については、欧米に大きく劣っているのが現状です。

また、IPAが大企業に対して行った「情報セキュリティに関するサプライチェーンリスクマネジメント調査」では、86%の企業が委託先のセキュリティ対策状況を把握していますが、再委託先または再々委託先以降のセキュリティ対策状況を把握している企業は、半数以下(47%)にとどまっています。

国際的関心が高まるサプライチェーンのセキュリティ対策

一方、アメリカではサイバーセキュリティの基本的なフレームワーク「Cyber Security Framework」が制定され、その中でサプライチェーンに対するセキュリティ対策が求められており、欧州においてもエネルギーや交通、金融といった重要インフラ業者に対してはサプライチェーンのセキュリティ対策を義務化するなど、海外では各国がサプライチェーンへのセキュリティ対策を求める取り組みを模索中です。

さらに日本でも、2020年の東京オリンピックを控え、ボット対策としてネットワークにつながる製品のサイバーセキュリティの要件も議論されています。

奥家氏は「セキュリティ要件を満たさない製品やサービス・事業者が、サプライチェーンに参加できなくなる懸念が高まってきている」と語り、サプライチェーンに対するセキュリティ対策の重要さを訴えました。

巧妙化する制御系へのサイバー攻撃

制御系へのサイバー攻撃にも注意が必要

奥家氏は、もうひとつの注意すべき要因として、社会インフラ、すなわち制御系を狙ったサイバー攻撃を挙げています。その代表例として、奥家氏が紹介したのが、ウクライナにおける2度にわたる停電です。

2015年12月に発生した1度目の停電は、DDoS攻撃+内通者の人為的攻撃によって発生したとみられています。一方、2016年12月の場合は、IT系から侵入して制御系のコントローラーに埋め込まれたソフトウエアが、外部からの指示を受けて、電力制御のプロトコルを用いて停電を引き起こしました。つまり、サイバー攻撃だけで制御系を停止させたということであり、2015年の攻撃よりもさらに深刻だといいます。

奥家氏は、このような制御系への攻撃が日本でも十分に起こり得ると指摘するとともに、「このような攻撃が発生した際に、どのようにバックアップを行うのか、どのように被害を最小化するのか、までを含めた対策を考える必要がある」と提案しています。

国内における重要インフラのセキュリティ対策

国内でも、重要インフラのサイバーセキュリティ対策が進んでおり、サイバーセキュリティ戦略本部では、重要インフラのすべての分野において、2018年度までにリスク評価を実施する方針です。また、情報共有体制の構築、人材育成、国際連携の推進といった取り組みも行われています。

奥家氏は、「サイバーセキュリティにおいて、身を守るためにもっとも有効な手段が情報共有である」とした上で、来場者に対して「あなたの会社がファースト・ターゲットとして攻撃を受けた際には、リスクを最小限に抑えこんだ上で、被害を拡大しないために少しでも早く通報してほしい。情報共有してほしい」と訴えました。

サイバーセキュリティ経営ガイドライン

企業のセキュリティ対策を支援するさまざまな取り組み

講演の終盤には、経済産業省とIPAによって策定された、「サイバーセキュリティ経営ガイドライン」が紹介されました。
同ガイドラインでは、経営者に対して、

  1. 経営者が、リーダーシップを取って対策を進めることが必要
  2. 自社のみならず、ビジネスパートナーを含めた対策が必要
  3. 平時および緊急時のいずれにおいても、関係者との適切なコミュニケーションが必要

という3原則を求めるとともに、「経営者がCISO等に指示すべき10の重要項目」を定めています。

なお、「サイバーセキュリティ経営ガイドライン」は大企業、およびセキュリティ対策が進んでいる中小企業向けのものです。これからセキュリティ対策に着手する中小企業や小規模事業者向けとしては、「中小企業の情報セキュリティ対策ガイドライン」が用意されています。

ほかにも中小企業なら、セキュリティ対策に取り組むことを自己宣言することで、サイバー保険の保険料割引などを受けられる「SECURITY ACTION」の利用も可能です。

これからの企業・経営者に求められるサイバーセキュリティへの意識

奥家氏によれば、アメリカでは近年、サイバー攻撃がサプライチェーンや株価にも影響を与えるとして、経営者のサイバーセキュリティへの意識が急激に高まっているといいます。先に紹介した「サイバーセキュリティ経営ガイドライン」が定められたことからも明らかなように、いまやサイバーセキュリティは重要な経営課題のひとつといえるでしょう。

一方で、奥家氏が「日本の企業には、経営者、システムマネジメント系の人たち、ビジネス戦略マネジメント系の人たちの3者が経営をサポートする、その三角形構造がまだできていない」と指摘するように、日本における経営者のサイバーセキュリティに対する意識は、現状では必ずしも十分とはいえません。

奥家氏は、「経営の観点から、サイバーセキュリティをどう捉えるかについて考えてほしい」と述べるとともに、サイバーセキュリティにおける経営者の役割を「入口対策が突破された際に、誰かのせいにするのではなく、被害を最小限に抑えた上で、できるだけ早くビジネスを復帰させる方法を考えること」だと定義しました。

セキュリティに関するお問い合わせ