SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2023 春の陣レポート

経産省による“産業分野”のサイバーセキュリティ政策──対策急務の「OSS」「SBOM」への動きとは

コミュニティ活動を通じた情報共有を

 サイバー攻撃が及ぶ範囲は拡大しており、被害も深刻化する一方だ。ひとたび攻撃されると経済活動に支障が出る。そこで経済産業省はガイドラインやツールを提供している。3月14日にEnterpriseZine編集部が開催した「Security Online Day 2023 春の陣」で、「産業分野におけるサイバーセキュリティ政策」と題して、経済産業省 商務情報政策局 サイバーセキュリティ課の星代介氏が、ランサムウェアやサプライチェーン攻撃などセキュリティのトレンドをはじめ、我が国の取り組みについて説明した。

ランサムウェアの被害が急増、52%が中小企業

 はじめに星氏は最近の傾向として情報処理推進機構(IPA)が毎年1月に発表する『情報セキュリティ10大脅威』を紹介した。最新版では「ランサムウェアによる被害」「サプライチェーンの弱点を悪用した攻撃」「標的型攻撃による機密情報の窃取」がワースト3としてランクインしている。

 これらの脅威における注意点は、それぞれが独立した脅威ではなく「絡みあっている」点だ。その事例として星氏は、2022年10月に発生した国立病院へのランサムウェア攻撃を紹介した。攻撃により電子カルテシステム障害が発生し、緊急以外の手術や外来を一時停止するという状況に陥っており、その原因として病院給食の委託業者のサーバーからウイルスが侵入した可能性が高いという。つまり、「ランサムウェア」と「サプライチェーン」が絡んでいる。

[画像クリックで拡大]

 このようなサイバー攻撃は対岸の火事ではない。警察庁に寄せられたランサムウェア被害の報告件数は右肩上がりで増えており、令和4年上半期は114件、令和3年上半期の61件から2倍近くの数だ[1]。星氏は、中小企業が52%を占めていることを指摘すると、「大企業だから狙われることはない。無差別に攻撃する中で、たまたま侵入できたために被害にあってしまったケースが多いのでは」と述べた。

 なお、「『情報セキュリティ10大脅威2023』解説書」(PDF)については、サイバーセキュリティの傾向を掴むのにいいのではないか、と星氏。日本全体のセキュリティ意識を高めるためにも、周囲にこうした情報を広げたり薦めたりしてほしいと続けた。

[1] 参考:『サイバー空間をめぐる脅威の情勢等』(警察庁)

経済産業省が推進する“セキュリティ政策”とは

 ランサムウェアやEmotetなど、サイバー攻撃による被害が増加していることを受け、経済産業省は2022年4月の産業サイバーセキュリティ研究会において、注意喚起を促すメッセージ[2]を出している。

 そこでは、組織幹部のリーダーシップの下で対策強化に努め、被害を受けた場合は適切に対応するよう呼びかけている。なおメッセージには、海外支店や子会社を保有する場合は、国内や本部と同様に具体的な支援や指示をするようにといったことも含まれている。

 具体的な対策としては、「保有する情報資産を漏れなく把握する」「不審なメールへの警戒や、機器等に対して最新のセキュリティパッチを当てる等の脆弱性対策を徹底する」といった基本的なものが並ぶ。感染が確認された場合は、報告・相談・対応を適宜行う、とされている。

 経済産業省としては、業種別/分野横断的なガイドラインとして、サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)に基づくセキュリティ対策の提示、SBOM(ソフトウェア部品構成表)活用に向けた実証実験の実施(後述)などを提示。中小/地場企業へのサイバーセキュリティ対策の普及促進では、「サイバーキュリティお助け隊」などもある。

[画像クリックで拡大]

 加えて、事案対処に備える基盤構築として、国境を越えるサイバー攻撃に対するJPCERT/CCの対応能力の向上などに取り組んでいるほか、人材育成や国際貢献にも寄与しているという。

[2] 参考:『産業界へのメッセージ』(2022年4月11日、産業サイバーセキュリティ研究会、PDF)

次のページ
『サイバーセキュリティ経営ガイドライン』最新版が公開

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2023 春の陣レポート連載記事一覧

もっと読む

この記事の著者

末岡 洋子(スエオカ ヨウコ)

フリーランスライター。二児の母。欧州のICT事情に明るく、モバイルのほかオープンソースやデジタル規制動向などもウォッチしている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17562 2023/04/07 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング