FUTURE MEDIAフューチャーメディア

フューチャースピリッツの動向やお客様の導入事例など最新情報をお届けします

bg

2024.07.04

セキュリティ情報

新たなサイバー対策格付制度ができる!?「第8回産業サイバーセキュリティ研究会事務局説明資料」を読む

目次



はじめに

この4月、日本経済新聞に「企業のサイバー対応力、5段階で格付け 経産省案を提示」という記事が掲載されました。これによると、経済産業省は2025年度に企業のサイバー対策を5段階で格付けする新しい制度を開始する予定です。サプライチェーンを標的とした攻撃が増加しているため、企業の対応力をさらに強化する必要があるとされています。

現代のビジネス環境では、サイバーセキュリティが企業にとって非常に重要な課題の一つとなっています。情報技術の急速な進化により、新たな脅威だけでなく、これを防ぐための新しい方法も登場しています。

今回の記事は、報道のソースになっている「第8回産業サイバーセキュリティ研究会」の事務局説明資料(以下、「第8回研究会資料」と省略)を読んで、新制度(以下、「サイバー対策格付制度」と仮称)の形を予測し、企業がどのようにセキュリティ対策を進めていくべきか考えます。そのためポイントは新制度の予想を当てることでなく、この研究会が何に問題意識を持っているのか考察することとします。具体的にサイバー対策格付制度は、第8回研究会資料を概観すると目に入る、以下キーワードの考え方を紹介しながら考えていきます。

  • ● マチュアリティ
  • ● セキュア・バイ・デザイン
  • ● セキュア・バイ・デフォルト


なお、産業サイバーセキュリティ研究会は、経済産業省が主管する研究会です。2017年の第1回会合資料には、
「サイバーセキュリティに関する課題が多岐に及ぶ中、(中略)、我が国の産業界が直面するサイバーセキュリティの課題を洗い出し、関連政策を推進していくため」にこの研究会を設置した旨が記されています。

サイバーセキュリティ成熟度の重要性

サイバーセキュリティの「マチュアリティ(maturity 成熟度)」とは、企業がセキュリティ対策をどれだけうまく統合し、継続的に管理しているかを示すものです。成熟度が高い組織は、セキュリティを計画的に取り組み、会社全体でセキュリティ意識を高めています。

他国では、米国にはサイバーセキュリティマチュアリティモデル認証(CMMC)という制度があります。防衛産業基盤の契約業者が取り扱う機密情報の保護を目的としたもので、サイバーセキュリティの成熟度を5段階で評価し、企業が連邦政府との契約を得るためには一定レベルのセキュリティスタンダードを満たす必要があります。

オーストラリアにも、サイバー攻撃から組織を保護するための8つの基本的なセキュリティ戦略をまとめて、エッセンシャルエイトマチュアリティモデル(Essential 8 Maturity Model)という制度があります。こちらは成熟度レベルを4段階で定義しており、組織がこれらの戦略をどの程度効果的に実施しているかを評価します。

要は、セキュリティ対策の運用が不適切で、目的意識が浸透していない場合、マチュアリティが低いと見なされるようです。マチュアリティが低いと、セキュリティ対策の実効性に疑問符がつきます。第8回研究会資料のp17では、成熟度の定義として三ツ星(★3)、四つ星(★4)、五つ星(★5)を設定し、対策レベルの可視化を図ることが謳われています。そして成熟度のレートが「政府調達・補助施策等への要件化」、「取引先からの対策要請による活用促進」、「利害関係者への情報開示による対話の促進」につながるよう図示されています。

「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」

セキュア・バイ・デザイン(あるいはセキュリティ・バイ・デザイン)またはセキュア・バイ・デフォルト(あるいはセキュリティ・バイ・デフォルト)いずれも、セキュリティ対策を設計する際の重要な考え方とされています。

  • • セキュア・バイ・デザイン:製品やシステムを最初から設計する際にセキュリティを考慮に入れる方法です。
    セキュリティは製品の基本的な機能として組み込まれます。
  • • セキュア・バイ・デフォルト:製品が市場に出る際に、最初から最も安全な設定で提供されることを意味
    します。ユーザーは特別な知識がなくても、基本的な保護を受けることができます。

サイバー対策格付制度における評価対象システム

この新制度では、企業のITインフラ全体が評価の対象になるようです。特に以下のシステムに焦点が当てられることが予想されます。

  • • クラウドセキュリティ:クラウドサービスの安全を守るための技術や方針。
  • • ネットワークセキュリティ:インターネットに接続するための機器やソフトウェアを含む。
  • • エンドポイントセキュリティ:個々のコンピューターやモバイルデバイスを守るための技術。
  • • IoTデバイス:インターネットに接続された機器のセキュリティ対策。
  • • データ保護:重要な情報を保護するための暗号化やバックアップなどの方法。
  • • アイデンティティ管理:ユーザーの認証やアクセス権限を管理するシステム。

あくまで予想ではありますが、高いレーティングを得るためにはITシステム全般のセキュリティ対策に目を向けなければならなくなるかもしれません。また、筆者の分析となりますので、ご参考の程度でお願いします。

プライバシーマークとISMSとの比較

ところで、情報セキュリティ関連の認証といえば、プライバシーマークやISMSが日本では有名です。

これらは、特定の基準に基づいて企業の情報保護の取り組みを評価します。それに対して、サイバー対策格付制度は、セキュリティの総合的な成熟度を測るもので、より広範な視点から企業のセキュリティ体制を評価するものになる可能性があることが第8回研究会資料から読み取れます。

まとめ

まだ情報が不足していますが、いずれにしても、サイバー対策格付制度が公式に始まることで、影響を受ける企業は多いと思われます。

当社も、AWSサービスやシステムインテグレーション事業を生業とする企業として、サイバー対策格付制度に向き合うことが不可避です。制度上高いレーティングを獲得することも当然重要ですが、より大切なことは、企業としてのマチュアリティを高め、クライアントに対して信頼性の高いサービスを提供する体制を整えることだと考えております。

セキュリティの向上は、業界内での競争力を高め、新たなビジネス機会を生み出す手助けにもなります。「新たな業務負荷の発生か…」とネガティブにとらえるよりは、ビジネス上の競争優位を作るための一手として、今後の展開を見守る方がいいかと思います。



出典

この記事をシェアする

メルマガ配信中!ご登録いただいたメールアドレスに、編集部おすすめ記事や最新情報を、いち早くお届けします。

記事の一覧を見る 戻る

お問い合わせはこちら

ご不明点や気になる点は、
サポートデスクにお問い合わせください

お問い合わせ