2021.01.18 インタビュー
IPAインタビュー「サイバーセキュリティお助け隊」の第四回目は、『これからのセキュリティ対策』をお届けします。
■これからのセキュリティ対策
(横山)
サイバーセキュリティ対策は、常にリスクを意識しつつ、マネジメントによる対策とシステムによる対策が必要です。ただ、従業員全員にマネジメントの部分を周知徹底するのはどうしても難しいです。何も起きないと、形骸化し、慣れが発生してしまうものです。また、便利なサービスも多くでていますので、リスクを常に意識してそういたサービスを利用すると良いのですが、現実はまだまだ難しいですね。IPAでも、ガイドラインの他に社員に配布するためのハンドブックを作成したり、地域でセミナーを開催したりしていますが、常にカイゼンとして回していけるようにするには、社長も従業員も自分ごととして考えてもらうようにならないと難しいです。
物理的な火事や事故は常日頃実感として分かりやすいですが、サイバーセキュリティは目に見えない部分が多いため、表面上PCが利用できる状態であれば日常生活で意識しにくい分野です。持ち出しに気を付ける、無くさないようにはする、という点は理解しやすいですが、ネットワークにつなぐことのリスクは目にみえないので意識を継続していくことは難しいと言えます。
攻撃者は、相手にバレない、騙そうという意図で活動しています。標的型攻撃メールの訓練を行うと、一定の比率で開封されるという話を聞きます。東京商工会議所が2019年におこなった標的型攻撃メールの訓練結果によると、その開封率は、300名以上の会社の場合で10.9%、100名~300名で14.5%、100名以下の場合は25.4%にものぼります。情報が伝わりきれていない部分もありますが、大企業と中小企業では情報セキュリティに日頃から情報に接している頻度や意識づけの差があると感じます。この結果を受けて、IPAとしても日頃から中小企業向けに周知していくことを継続的にやっていかなければいけないということを改めて感じました。
サプライチェーンでは、OEM側からはT1、T2くらいまでは目が届くのでしょうが、T3から先になるとOEMからの管理はむずかしいのでT1、T2などそれぞれの発注元に見てもらうことになりますので難しいと思います。また、どこまでセキュリティ対策をやってください、と一律に決めることは難しいので悩みどころかと思います。自動車業界としては、自工会・部工会がサイバーセキュリティガイドラインを策定していますので、自動車業界は先行事例なのかなと思います。先日、自工会の方とも話をしましたが、製造業としての共通項がありそうです。IPAから提示している「5分でできる!情報セキュリティ自社診断」等も参考にしているとのことでしたので、今回の実証も踏まえて業種別ではこういう+αが必要ですね、と、産業界全体にこういう取り組みを示せるようになると良いと思います。
今後は、中小企業が具体的に何をやったらよいか、というところに当てはまる製品サービスを明らかにしていく必要があると思います。昨年、今年の結果を踏まえて、中小企業にとって扱いやすいサービスの評価基準を作って、ブランド化して展開しようという構想があります。お助け隊をブランド化することで、こういったサービスを使っていけばいいということを示していければ良いと思います。これを広げるための取り組みとして、産業界が中心となったサプライチェーン・サイバーセキュリティ・コンソーシアムが2020年11月に立ち上がりました。IPAも事務局としてコンソーシアムの活動を支援しつつ、その中で、これまで取り組んできたマネジメントの部分、セキュリティアクションに、製品サービスの導入を含めた実践と、全体的に取り組んでいきたいと思っています。
セキュリティセンター グループリーダー 横山 尚人氏
■コンソーシアムを中心としたセキュリティ強化運動
(横山)
コンソーシアムの中で検討したいものの一つとして、「セキュリティ対策への取り組み状況に信頼性のある基準を設けること」があります。セキュリティアクションは現在、一つ星と二つ星がありますが、情報セキュリティに関する基本的な25項目をチェックして、情報セキュリティ基本方針を定めれば二つ星となること、認定するものではなく自己宣言であることから、周囲に信頼してもらうレベルとして足りているのか、という思いがあります。ISMSがこの役割を担うのですが、いきなり取組むには金額面でも運用面でもハードルがあります。ISMSに至る過程の一歩手前の段階で、まずは一通り信頼してもらうというレベルはどこなのか、それを内外に示す仕組みはどのようなものが良いかをコンソーシアムの中で検討していきたいと考えています。
IPAのこれまでの中小企業支援は、商工3団体や中小企業診断協会、社労士会連合会や税理士会連合会などに参加してもらい、中小企業目線で考えていました。今回のコンソーシアムでは、業種別の業界団体が多く参加しています。そのため、中小企業(受注企業)目線の団体と発注元目線の団体が一堂に会したなかで話し合いができるようなり、そこからまた中小企業向けに発信していくことができるようになると思います。コンソーシアムには自工会も部工会も参加されていますので、今後さらに活発な取り組みができると思います。
■今こそ、セキュリティ対策を
(芳賀)
昨年話を伺った企業の担当者からいただいた言葉で、「今から備えることで力を蓄えている」という言葉が印象的でした。備えることで取引先から選ばれやすい企業にしていくのだ、ということでした。その企業は、海外とも取引がある企業でしたので、取引先との会話の中で「当たり前にセキュリティの話ができること」で信頼につながっていると感じるそうです。
(横山)
企業活動にとって、サイバーセキュリティ対策が当たり前の話になりつつあります。この事実を早く多くの人に知ってもらう必要があると思っています。
(芳賀)
これまでも中小企業でのセキュリティインシデント発生の報告を受けることはありますが、今はまだ、日本全体の経済活動が脅かされる事態まで至っていません。しかしながら、危ない状況であることは目に見えており、いつ危機的状況に陥ってもおかしくない状況にあります。これは、各種の調査結果で報告されている、中小企業へのサイバー攻撃が多く発生している実態をみても明らかです。今、中小企業に求められているのは、「何かあってから考えるのか?事前に備えておくのか?」ということです。サイバー攻撃に対して、これから先もずっと安心安全に企業活動を継続できると思っている人は誰もいないと思っています。「どう備えるのか」を考え、実践していくことができる時間は、今しかないと思っています。
セキュリティセンター 芳賀 政伸氏
■来年度以降の中小企業向け活動について
(横山)
来年度以降の事業については、まだ検討段階ですが、コンソーシアムの活動を中心にしつつ、引き続き地域のセキュリティネットワーク、コミュニティづくりを後押ししていく活動になると思います。身近な相談相手をどう作りあげていくかというところで、お助け隊も活動の中心になると思います。
IPAでは、経済産業省から示された中期目標の達成に向けた計画を立てており、今期残り2年半の期間では、「地域のセキュリティ対策が進んでいない」ことを課題に挙げられ、3大都市圏以外(36道県)でセキュリティアクションの宣言数を増やすということを目標とされています。このため、地方でもセキュリティ対策に取り組む企業を増やすべく、この普及活動をしっかり力を入れてやっていくことにしています。隅々まで広げていくために、自治体との連携強化も進めていきます。セキュリティアクションは現在、国のIT導入補助金の申請に要件化されていますが、今後は各自治体の方のIT促進に関する補助金への要件化に向けて働きかけていくことも、方法の1つとして考えられます。これを進めることで「IT化とセキュリティはセットで考える必要がある」ということを中小企業に意識づけしてもらうための契機にしたいと考えています。
サイバーセキュリティ対策は、サービス提供側にも利用企業側にもビジネスとして成り立って初めて、広がり、定着すると考えています。そのために国やIPAとしてできることを考え、今後も引き続き取り組んでいきます。
≪参考URL≫
・中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け隊)の報告書について [IPA] -2020年6月15日
・昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性についての報告書を取りまとめました [METI] -2020年6月12日
・サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されます [METI] -2020年10月30日