取引条件になる可能性も?セキュリティ対策評価制度が企業にもたらす変化
近年、企業を標的としたサイバー攻撃は高度化・巧妙化しており、特に注目されているのが企業単体ではなくサプライチェーンを狙った攻撃です。
大企業が直接狙われるのではなく、セキュリティ対策が十分でない取引先を踏み台として侵入するケースが増えています。
こうした状況を受け経済産業省では、企業のサイバーセキュリティ対策水準を可視化する新たな仕組みとして「セキュリティ対策評価制度」の検討が進められています。
本制度は、企業のセキュリティ対策の成熟度を評価し、サプライチェーン全体のセキュリティレベルを底上げすることを目的としています。
なぜ新しい制度が必要?
これまで、多くの企業ではサプライチェーンの取引先に対して個別にセキュリティ対策を求めてきました。
しかし、その内容や水準は企業ごとに異なり、受注企業にとっては複数の基準に対応する負担が大きいという課題がありました。
また、セキュリティ対策の状況を客観的に評価する共通基準がないことも問題とされています。
例えば、ある企業が「十分な対策を実施しています」と説明しても、それがどの程度の水準なのかを取引先が判断することは容易ではありません。
こうした背景から、企業のセキュリティ対策状況を共通の指標で示す仕組みとして、セキュリティ対策評価制度の導入が検討されています。
セキュリティ対策評価制度の概要
本制度では、企業のセキュリティ対策の成熟度を星(★)の数で示す評価モデルが想定されています。
基本的なセキュリティ統制が整備された状態を★3とし、より高度な対策や運用体制が整備されるにつれて★4、★5といった上位レベルに評価される仕組みです。
評価は企業自身による自己評価に加え、必要に応じて第三者による評価を組み合わせることが検討されています。
これにより、企業のセキュリティ対策水準を客観的に示すことが可能になります。
また、本制度は単なる認証制度ではなく、企業間取引におけるセキュリティ対策の共通基準として活用されることが想定されています。
- ★3については、一般的なサイバー脅威に対処しうる水準を目指すものとして規定。
- ★4は、初期侵入の防御にとどまらず、内外への被害拡大防止・目的遂行のリスク低減によって取引先のデータやシステム保護に寄与する点や、サプライチェーンにおける自社の役
割に適合したサプライチェーン強靭化策が講じられていることを水準として想定。
- ★5については、より高度なサイバー攻撃への対応として、自組織のリスクを適切に把握・マネジメントした上で、システムに対する具体的な対策としては既存のガイドライン等も踏ま
えた上で現時点でのベストプラクティスに基づく対策を実行する形を想定(★3・4の精査も踏まえ、今後更に具体化)。
- 上位の段階はそれ以下の段階で求められる事項を包括するため、例えば、★3を事前に取得していなければ★4を取得できないという関係とはならない。
|
|
★3※1 |
★4
|
★5※4 |
| 想定される脅威 |
- 広く認知された脆弱性等を悪用する一般的なサイバー攻撃
|
- 供給停止等によりサプライチェーンに大きな影響をもたらす企業への攻撃
- 機密情報等、情報漏えいにより大きな影響をもたらす資産への攻撃
|
|
| 対策の基本的な考え方 |
- 全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的な組織的対策とシステム防御策を中心に実施
|
- サプライチェーン企業等が標準的に目指すべきセキュリティ対策として、組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施(実地審査及び技術検証を含む評価によって対策実施状況の確認を行う。)
|
- サプライチェーン企業等が到達点として目指すべき対策として、国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施
|
脅威に対する達成水準
(イメージ) |
- 組織内の役割と責任が定義されている。
- 一般的なサイバー脅威への対処を念頭に、自社IT基盤への初期侵入、侵害拡大等への対策が講じられている。
- インシデント発生時に、取引先を含む社内外関係各所への報告・共有に必要な最低限の手順が定義、実施されている。
|
- 取引先のシステムやデータを含む内外への被害拡大や攻撃者による目的遂行のリスクを低減する対策が講じられている。
- 事業継続に向けた取組や取引先の対策状況の把握など、自社の位置づけに適合したサプライチェーン強靭化策が講じられている。
|
- 組織において国際規格等に基づくマネジメントシステムが確立されている。
- リスクを適宜適切に把握した上で、インシデントに対して迅速に検知・対応するなど、ベストプラクティスに基づくサイバーレジリエンス確保策が講じられている。
- 取引先等への指導や共同での訓練の実施など、自社サプライチェーン全体のセキュリティ水準向上に資する対策が講じられている。
|
| 評価スキーム |
専門家確認付き自己評価※2 |
第三者評価※3 |
第三者評価※3 |
| 有効期間 |
1年 |
3年 |
TBD |
ベンチマーク
(対象企業やリスクが同様であり、対策項目を検討する上で参考) |
- 自工会・部工会ガイドLv1
- Cyber Essentials
⇒★3で対処する脅威等に照らして精査し、対策事項(案)を抽出
|
- 自工会・部工会ガイドLv2~3(Lv3については一部の項目)
- 分野別ガイドライン 等
⇒★4で対処する脅威等に照らして精査し、対策事項(案)を抽出
|
- ISO/IEC27001
- 自工会・部工会ガイドLv3 等
|
|
※1 ★1・★2については、IPAが運営する「SECURITY ACTION」を参照されたい。
※2 ★取得希望組織が自ら実施した評価の結果について、セキュリティ専門家による確認及び助言を経て、取得希望組織の評価結果として確定させることをいう。
※3 ★取得希望組織が自ら実施した評価の結果について、★取得希望組織以外の組織(評価機関)による評価等を経て、評価結果として確定させることをいう。
|
※4 ISMS適合性評価制度との制度的整合性、★3・4との整合性も踏まえ、今後対策事項を検討
|
企業取引への影響は?
セキュリティ対策評価制度が導入された場合、企業間取引のあり方にも変化が生じる可能性があります。
発注企業の立場では、取引先のセキュリティ対策状況を客観的に確認できるようになるため、サプライチェーン全体のリスク管理が行いやすくなります。
特に、機密情報や重要なシステムに関わる取引では一定以上の評価レベルを求めるケースも想定されます。
一方、受注企業にとっては、自社のセキュリティ対策を客観的に示す手段として活用できる可能性があります。
評価制度によって一定の水準が明確になれば、「どこまで対策を実施すればよいのか」が分かりやすくなるというメリットも期待できます。
ただし、将来的には特定の評価レベルの取得が取引条件となるケースが増える可能性もあり、企業としては早めの対応が求められるでしょう。
今から企業が準備すべきこと
制度の詳細は今後確定していく予定ですが、基本的なセキュリティ対策の重要性は変わりません。
企業としては、まず次のような取り組みを進めておくことが望ましいと考えられます。
- 情報セキュリティ方針の策定
- 情報資産の把握とリスク評価
- アクセス管理やパッチ管理などの基本対策
- インシデント対応体制の整備
- 従業員へのセキュリティ教育
これらは制度への対応だけでなく、企業自身をサイバー攻撃から守るための基盤でもあります。