セキュリティ対策の格付け制度開始まであと1年──経産省が語る制度設計の全貌とIT部門が今すべき備え

「チェックリスト地獄」からの脱却──安全保障への脅威に経産省が動く

　かつてサイバーセキュリティは“自社を守る盾”としての役割が主であったが、現在は国家安全保障およびビジネスの存続条件へと形を変えている。橋本勝国氏は講演の冒頭、サイバー脅威の主体が変化していることを強調した。

　これまでの愉快犯や金銭目的の犯罪組織に加え、昨今は「APT（Advanced Persistent Threat）」と呼ばれる国家を後ろ盾とした攻撃グループの活動が活発化している。中国を後ろ盾とする「Volt Typhoon」などのグループによる重要インフラへの潜伏活動や、北朝鮮の関与が疑われる「DMM Bitcoin」の巨額流出事件などは、もはや一企業の努力だけではサイバー被害を防ぎきれない現実を突きつけている。

　特にDMM Bitcoinの事例では委託先経由で攻撃が行われたように、攻撃者は守りの堅い大企業を直接狙うのではなく、相対的に対策が手薄な中小企業や委託先を“踏み台”にして侵入を試みる。橋本氏は「IPAの『情報セキュリティ10大脅威』でも、ランサムウェアに次いで『サプライチェーンの弱点を悪用した攻撃』が上位に入っている」と指摘し、サプライチェーン全体の底上げが国家的な急務であることを強調した。

「★5段階」でセキュリティ対策状況を可視化

　現場が抱える最大の実務的課題として、橋本氏は「セキュリティレベルの不透明さ」と、それにともなう「非効率な確認作業」を挙げる。

　現在、多くの企業間取引において、発注元企業は取引先に対し、サイバーセキュリティが担保されているかを確認するために各社独自のチェックリストへの回答を求めている。しかし、発注者ごとにフォーマットや基準が異なるため、受注側のサプライヤーは膨大な種類のリストへの回答作業に忙殺され、本質的な対策に手が回らないという状況が生まれているのだ。また、それだけの労力を費やしても、相手が実際にどれだけセキュアなのかは依然としてブラックボックスのままである。

　この状況を打破するために考案されたのが、サプライチェーン強化に向けた国による統一的なセキュリティ対策評価制度（以下、「サプライチェーン強化に向けたセキュリティ対策評価制度」）だ。現在整備が進められているこの制度は、企業のセキュリティ対策状況を「★1」から「★5」までの5段階で可視化する仕組みであり、取引の信頼性を担保する共通言語となることを目指している。企業の対策レベルに応じ、評価される構想だ。

　最高ランクとなる「★5」は非常に高度な攻撃にも耐えうる水準を想定しており、重要インフラ事業者などが対象で、「★4」は重要データを扱う大企業や中堅企業を対象とした「標準的～高度な対策」が求められるレベルだという。★5と★4は第三者による評価（監査）が必須となる。

　続く「★3」は、一般的な事業会社やサプライヤーが目指すべき水準として設定される。これは一般的なサイバー攻撃に対応可能なレベルとされ、自己評価に加えて審査機関によるチェックを受ける形式が想定されている。さらにその下の「★2」と「★1」は、基本的対策の実施を自己宣言するレベルとなる。