コラム columns

2019.06.13 レポート

IPA「サプライチェーンにおけるサイバーセキュリティを語りあうシンポジウム」レポート(前編)

独立行政法人情報処理推進機構(IPA)では、今年度の情報セキュリティ10大脅威2019の組織向け脅威の動向として、第4位に「サプライチェーンの弱点を悪用した攻撃の高まり」をランクインさせている。

そのような中、IPAは、6月に開催されるG20大阪サミットにおいて「デジタル経済への対応」がひとつのテーマになることを機に、関西サイバーセキュリティ・ネットワークの協力の下、デジタル流通社会におけるサプライチェーンやIoTに関するサイバーセキュリティ上のリスクや課題、解決に向けた方策などをテーマとしたシンポジウムを、2019年5月28日(火)に大阪で開催している。


IPA190528-1

製造業の大きな集積拠点のひとつである大阪・梅田のグランフロント大阪 ナレッジシアターで、IPAシンポジウムを開催


本シンポジウムは、基調講演、パネルディスカッション(1)「サプライチェーンに参加する中小企業はどのように取組を進めればよいか」、パネルディスカッション(2)「急増するIoTのセキュリティにどう取り組むか」がテーマ構成され、その中でJNXユーザに関連ある内容を、講演者・パネリストから4点に絞ってレポートする。


サプライチェーン全体でのセキュリティ対策強化に向けたきめ細やかな取組が必要

基調講演では、経済産業省 サイバーセキュリティ・情報化審議官 三角氏より、「Society5.0 [*1] を支える信頼性の確保について」と題した講演。Society5.0を実現するためには信頼性の高いデータ及びその流通が重要となる。
経済産業省は、サプライチェーン全体のサイバーセキュリティ確保を目的として、産業に求められるセキュリティ対策の全体像を整理した『サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF) [*2] 』を策定。また、信頼性の高いデータ流通を確保するために、"Data Free Flow with Trust(データフリーフローウィズトラスト,略:DFFT)" [*3]を実現する必要がある。
本講演では、Society5.0を支えるため、且つ、新たな付加価値を創出するコンセプト「データ・フリー・フロー・ウィズ・トラスト(DFFT)」を紹介している。




IPA190528-2

シンポジウムのオープニング画面


これらの詳細は、最後のテーマでとりあげることとし、『DFFTの基盤整備には,中小企業・地域も含めたサプライチェーン全体でのセキュリティ対策強化に向けたきめ細やかな取組が必要』の説明の際に、興味深い調査結果の報告があったのでここで紹介する。

サプライチェーンを通じた被害実態に関する調査結果(大阪商工会議所)

講演でも、サプライチェーンでのインシデント調査結果の報告は、初めてではないかと話があった。大阪商工会議所が大企業、中堅企業118社に調査し、サプライチェーンを通じた被害実態の調査を依頼。その調査結果は、以下のとおりである。


 

  • 取引先がサイバー攻撃被害を受け、自社にその影響が及んだ経験がある企業が30社あった(全体の25%)

 

  • 受けた影響の内容としては、「標的型メールが届く」(15社)など

 

  • 被害としては、「情報漏えい」(5社)、「システムダウン」(3社)、「データ損壊」(3社)などが報告されている




受けた影響の内容(件数*複数回答あり)の詳細は、標的型メールが届く(15社)、詐欺的誘導メールが届く(13社)、不正アクセス(9社)、導入したシステムや製品にウイルス等が混入(6社)、不正暗号化・身代金要求(2社) 、その他(2社)

被害(件数*複数回答あり)の詳細は、被害は(殆ど)及ばなかった(24社)、情報漏洩(5社) 、システムのダウン(3社)、データの損壊(3社)、その他(2社)

今回は、流通途絶、信用低下の報告は無かったようだが、インターネットでの電子商取引を行う場合は、取引先(仕入先)を含めた十分なリスクアセスメント、孫請けを含めたサプライチェーン全体でのセキュリティ対策の取組みが必要なところまできている調査結果になっている。


IPA190528-3

350名のキャパシティのホールは、熱気で包まれていた。
サプライチェーンのセキュリティ対策への関心度の高さが伺える。


これらへの対応のため、経済産業省は、PAを事業主体とし、中小企業向けに、事前の備えからインシデントが発生してしまった後の対応・復旧までを徹底支援するために、下記の施策に取組んでいくとの報告を行った。


  • セキュリティ対策を始めるに当たって何をやればいいのかわからない。そういった悩みをもつ中小企業に対し、専門家を派遣し、セキュリティポリシーの策定を支援 [*4]
  • インシデントが発生してしまったが対処方法がわからない。そんな中小企業の事後対応を支援する簡易保険の実現を目指し、サイバーセキュリティお助け隊による支援体制を構築 [*5]


⇒(後編につづく)


参考情報

[*1] Society 5.0

サイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会(Society)、狩猟社会(Society 1.0)、農耕社会(Society 2.0)、工業社会(Society 3.0)、情報社会(Society 4.0)に続く、新たな社会を指すもので、第5期科学技術基本計画において我が国が目指すべき未来社会の姿として初めて提唱されました

Society 5.0 資料 [PDF] - 内閣府


[*2] サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)

サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)を策定しました - 経済産業省 (2019.4.18)



[*3] データフリーフローウィズトラスト(DFFT)

国際的なデータ流通の枠組みの構築(報告)[PDF] - 首相官邸 (未来投資会議(第23回)配布資料 2019.2.13)

データ流通・活用に関する検討状況について [PDF] - 総務省 (2019.1.29)



[*4] セキュリティ専門家派遣

第4回 産業サイバーセキュリティ研究会 ワーキンググループ2(経営・人材・国際 - 経済産業省 (資料3事務局配布資料内 2019.3.29)


[*5] サイバーセキュリティお助け隊 

「中小企業向けサイバーセキュリティ事後対応支援実証事業」(サイバーセキュリティお助け隊)の実施地域・事業者が決定しました - 経済産業省 (2019.5.17 )