SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

経産省が5段階で格付けするサイバー対策の評価制度 開始まであと2年、今知るべき最新動向と対策とは

日本のセキュリティへのネガティブな意識を改革するフックになるか

 サプライチェーンを狙ったサイバー攻撃が激化する状況を踏まえ、経済産業省(経産省)は2025年度を目途に企業のサイバー攻撃対策レベルを5段階で格付けする制度を始めると発表した。この格付け制度は、政府調達や補助金支給における企業選定の要件にも組み込まれると言われている。こうした政府の動きの背景にはどのようなサイバー攻撃の動向があるのか、他国の動きはどう影響しているのか、そして今後企業にはどのような対応が求められるのか。トレンドマイクロ シニアスレットスペシャリストの平子正人氏に聞いた。

セキュリティ対策の弱い拠点が“攻撃の踏み台”に

 サイバー攻撃の中でも、近年特に懸念が高まっているのがサプライチェーン攻撃だ。とはいえ、これは決して新しい兆候ではなく、以前から警戒が必要だと言われてきたと平子氏は指摘。実際、情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」にサプライチェーン攻撃が登場したのは2019年。この年以降、常に脅威の上位に位置している。

 サプライチェーン攻撃には主に3つの種類がある。まず、「ソフトウェア・サプライチェーン攻撃」。これは、ソフトウェアの部品を改ざんしたり、マルウェアを仕込んだりすることで、その製品がリリースされた際に一気に感染を広げる手法を指す。次に、「サービス・サプライチェーン攻撃」がある。これは、クラウドサービスなどの共通基盤が侵害されることで、そのサービスを利用するすべての組織に影響を与えるもの。最後に、「ビジネス・サプライチェーンリスク」。これは、取引先やグループ会社などから侵入され、自組織も被害を受けるリスクを指す。

 なかでも昨今目立っているのがビジネス・サプライチェーンリスクだと平子氏。これは、取り引きのある中小企業や海外拠点を狙った脅威だ中小企業や海外拠点におけるセキュリティの成熟度が低い傾向にあることが要因として挙げられる。攻撃者はセキュリティの弱い拠点を狙い、そこを踏み台として本社など重要な場所への侵入を試みるとして、「無理やりドアをこじ開けるのではなく、“空いている”ドアを狙うのです」と平子氏。

トレンドマイクロ シニアスレットスペシャリスト 平子正人氏

 セキュリティレベルの低い海外拠点から被害が拡大した場合、原因究明や対策に時間がかかり、業務停止期間が長期化する傾向もある。トレンドマイクロの調査によると、サイバー攻撃による被害額の平均は1億円以上となっており、中には10億円を超えるケースもあった。こうした状況からも、セキュリティ対策がビジネスの重要な要件となっていることは明白である。

トレンドマイクロ提供資料より抜粋
【画像クリックで拡大】

サプライチェーンの特性を示す「セキュリティの樽」

 こうしたサプライチェーンへの対策について、平子氏は「セキュリティの樽」という概念を用いて特性を説明する。樽は、長細い板を並べて束ねた構造になっているが、この形状をサプライチェーンにたとえたとき、そこに溜められる水の量がセキュリティレベルだと説明。樽を構成する板がサプライヤーや取引先、グループ会社を示し、板の長さがそれぞれのセキュリティレベルと表現できる。
 つまり、セキュリティレベルは一番低いところが基準となるため、各社が「短い板」にならないような対策が必要ということだ。また、サプライチェーン全体を統括する立場からは、セキュリティ監査や対策状況の確認を行い、全体のセキュリティレベルを底上げする(=板の長さを管理する)必要がある。

 このように、サプライチェーン全体のリスクマネジメントが重要だが、特に中小企業では対策が十分でない場合が多いと平子氏は指摘。中小企業は人材不足などが原因となり、サイバー攻撃対策まで手が回っていないことも少なくない。刻一刻と変化するサイバー攻撃や自社の脆弱性対策、デジタル資産の増加・変化などに対応するためには、自動化技術やリスクの定量化が必要だという。グローバル共通の基準を用いて、サプライチェーンを構成する拠点のリスクを統一的に評価し、セキュリティレベルを向上させることが求められるのだ。インシデントが発生したときに初めてセキュリティを考えるのではなく、平時からリスクを把握して対策することが重要だと平子氏は話す。

次のページ
経産省の格付けによって対策は「実行フェーズ」へ

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務とWebシステム開発事業を展開する会社・アンジーを創業した。編集プロダクション業務では、日本語と英語でのテック関連事例や海外スタートアップのインタビュー、イベントレポートなどの企画・取材・執筆・...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

竹村 美沙希(編集部)(タケムラ ミサキ)

株式会社翔泳社 EnterpriseZine編集部

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19841 2024/06/19 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング