2021.01.12 インタビュー
IPAインタビュー「サイバーセキュリティお助け隊」の第三回目は、『今年度のセキュリティ対策動向』をお届けします。
■企業のリスクマネジメント強化のための基本行動方針の策定
(横山)
日々高度化するサイバー攻撃の事例や、昨年度のお助け隊事業等の結果をうけて、産業界全体でのセキュリティ意識と対策レベルの向上が急務と感じました。また、これに加えて今年1月に公表された大手電機メーカーの不正アクセスの事案など、長い期間が経過した後に公表された事例がいくつかあったこともあり、サプライチェーン全体のセキュリティを確保するための取り組みについて、産業界全体へ方向性を示す必要があると考えました。
それぞれの事例で適切なタイミングはありますが、情報の共有、報告が適切に行われていないと被害の広がりを防ぐことができないのでは、という課題から、サプライチェーン全体のセキュリティ確保のために企業がとるべきアクションとして、経済産業省から「共有」「報告」「公表」の3つが基本行動指針として提示されました。
サプライチェーン全体のセキュリティ確保のために求められる行動 ※報告書より抜粋
■セキュリティに対する意識の底上げ
(横山)
セキュリティへの関心度は企業によって様々です。今懸念しているのは、サイバーセキュリティ対策を行っていない企業は、今後取引の対象から除外されてしまう可能性があるということです。下請法もありますので、強くは言われない可能性もありますが、これから先さらにグローバルな部品・製品供給の方向になっていく中で、取引の前提条件にサイバーセキュリティ対策が必須となっていく可能性があります。ある日突然取引ができなくなると、企業活動が成り立たなくなりますので、IPAとしても対策の必要性を今から繰り返し訴えている必要があると感じます。
■IPAの今年の活動は
(芳賀)
今年は、「セキュリティアクション」、「情報セキュリティマネジメント指導業務」、「お助け隊事業(2020)」に力を入れていきます。
セキュリティアクションは、今年、自己宣言数が10万件を突破しました。お助け隊は、今年は15事業者で実施します。地域での実証の他に、業種での実証も行います。自動車産業での実施も決まっており、広島と静岡の取引先企業を中心におこないます。情報セキュリティマネジメント指導は、全国の中小企業400社に対して専門家(情報処理安全確保支援士)を派遣して現状確認、ポリシーの策定、次おこなうべき対策の確認などを行うことができます。また、支援士の方は技術系の人が多いので、中小企業向けの身近な専門家としての経験を積んでもらいたいという思いがあり、支援士の方の教育も兼ねた事業となっています。4回の派遣でリスクの洗い出しから体制づくりまでをおこなうことで、ガイドラインに沿った内容ができるか、実証実験に近い形でおこなっています。4回の派遣で、それなりの体制づくりが中小企業にもできることが分かりました。この事業は今年度も継続して行います。
■テレワークにも課題が
(芳賀)
大阪商工会議所では、コロナ禍によるテレワークに関する緊急アンケートを行っており、その調査結果では、急にテレワークを導入したので体制やルールを決めずに行ったケースが多かったようです。データの取り扱いについてルール化されないまま私物PCを使って行われているケースもあり、今年の情報セキュリティマネジメント指導業務事業では、リモート対応のやり方をきちんと説明しながら対応いただきたいと思います。
■日頃からの"つながりづくり"が大事
(横山)
昨年度の実証事業を行って、中小企業とセキュリティをつなぐ日頃からのつながりづくりが大事ということをあらためて感じました。これを達成するアイディアの一つとして出ているのが、地域コミュニティとセキュリティ専門家のつながりを支援していくということです。1社で1人の専門家についてもらうのは費用面でも難しいですが、何社かに対して1人専門家がいて相談できる状態であれば、1社あたりのコスト負担も少なくなります。専門家としても1日中企業に張り付く必要はないので、そのような形を目指していきたい。弁護士や税理士のようなイメージです。そのセキュリティ専門家のなり手としてイメージしているのは、情報処理安全確保支援士の資格を持った方々です。現在約2万人いて、その多くは企業に勤めていますが、独立したり、コンサルティング会社を経営されたりしている方もいます。そういう人達がいるということをまずは中小企業に知ってもらうこと、また、支援士の方々には、中小企業との付き合い方をこれから学んでいただくことで、両者のつながりをもてるようにできればと考えています。
IPAでは、日頃の相談相手となるセキュリティ専門家を増やしていきたいと考えています。ただ、セキュリティ専門のみですと、現時点ではニーズが高くはありません。情報処理安全確保支援士の中には、中小企業診断士の資格を持っている方もいますが、それ以外にも、IT利活用、DX等を用いた会社の業務全体の変革を進めながらその過程ではセキュリティも考慮していく、事業推進とセキュリティと両方を進められるような人材が中小企業には必要になっていくと思います。一部の地域ではすでにこういったセキュリティ・コミュニティが形成されていますが、今後さらに広めていきたいです。
■地域のコミュニティはどのように形成されているのか
(横山)
それぞれの地域によって構成が若干異なりますが、警視庁や道府県警察本部が中心となって自治体、地域をまきこんでコミュニティづくりが進められ、この活動がしっかり根付いたところがいくつかあります。また、各地域の経済産業局が中心となった地域コミュニティづくりも進められています。
これからのサイバーセキュリティ対策には、「地域の相談相手」がキーワードになると考えています。日頃から相談できる相手をつくるということです。これに対してIPAではお助け隊や情報セキュリティマネジメント指導などを通じてアプローチしていますし、経済産業局もコミュティづくりからのアプローチを目指しています。経済産業局とは今後も相互に連携しながら活動を行い、こういった地域コミュニティを今後さらに拡大強化していこうと考えています。
≪参考URL≫
・中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け隊)の報告書について [IPA] -2020年6月15日
・昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性についての報告書を取りまとめました [METI] -2020年6月12日
・サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されます [METI] -2020年10月30日