コラム columns

2019.10.28 レポート

JNXセミナー2019情報 IPA講演 サイバーセキュリティ経営ガイドラインの実践 概要

JNXセミナー2019のIPAプレゼンテーションの後半では、「サイバーセキュリティ経営ガイドラインの実践」について、独立行政法人情報処理推進機構(IPA)セキュリティセンター セキュリティ対策推進部セキュリティ分析グループ 小川 隆一グループリーダーには名古屋会場にて、ジリエ 陽子研究員には品川会場にて講演いただいた。

講演は、「サイバーセキュリティ経営ガイドライン」「サプライチェーンのセキュリティ」「サイバーセキュリティ経営ガイドラインプラクティス集」の3つの内容を解説いただいている。

2019ipa2-1

ITの利活用は企業の収益性向上に不可欠であるが、一方でサイバー攻撃は、増加傾向かつ手口は巧妙化している。企業戦略として、ITやセキュリティに対する経営者の投資判断がますます必要になってきている。また、セキュリティ対策は、情報セキュリティからサイバーセキュリティへの対策も必要になってきている。

しかしながら、企業のセキュリティ対策状況、特に実質的な体制の運用、特にサイバー攻撃対策・インシデントレスポンスへの対応、サプライチェーンリスクへの対策は道半ばである。

そうした中で、経営者がサイバーセキュリティについて認識すべき3原則、およびセキュリティ担当幹部に指示すべき重要10項目を
「サイバーセキュリティ経営ガイドライン」として、平成27年12月に経済産業省とIPAが策定、平成28年11月にVer 2.0発行。ガイドラインは、企業の経営者を第一義的な読者として想定している。Ver 2.0は、こちらから。

経営層が認識すべき3原則
1. 経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
2. 自社は勿論のこと、系列企業や サプライチェーンのビジネスパートナー、システム管理の委託先を含めた対策が必要
3. 平時・緊急時のいずれにおいても、関係者との適切なコミュニケーションが必要

ガイドラインの実践において経営層に求められる役割とは?
・事業のためのセキュリティを考える
・脅威分析は情報漏えいだけでなく、事業継続・サプライチェーンの視点からも行う(そのサービスが止まると誰が 困るのか?等)
・他の多くのリスクがある中にセキュリティリスクも位置づけること

これらは、コミュニケーション連携を基本とし、外部連携も視野にいれて、リスクを統合的に判断する仕組みを作ることをあげている


ガイドラインには、実施すべく重要10項目があるが、その中の指示9であるサプライチェーンセキュリティへの対応
[重要10項目 指示9] 監査の実施や対策状況の把握を含むサイバーセキュリティ対策のPDCAについて、系列企業、サプライチェーンのビジネスパートナーやシステム管理の運用委託先等を含めた運用をさせる。システム管理等の委託について、自組織で対応する部分と外部に委託する部分で適切な切り分けをさせる。 これらについて、日本企業は欧米に比べ委託先等へのケアが大幅に遅れている、委託先を踏み台にした、自社への攻撃への対策が必要となってきている。


サプライチェーンリスクも変化しており、従来のサプライチェーンリスクは、大震災などが起こっても事業を止めないこと(BCP、事業継続性)に重点がおかれてきたが、それらにくわえ、情報セキュリティリスクの顕在化している

- 委託先からの情報流出・自社からの取引先情報流出
- 委託先からの納品物にマルウェアが混入
- 委託元・委託先からのサイバー攻撃メール
- 調達したソフトウェア・オープンソースソフトウェアの脆弱性による事故
- 調達機器の不正な機能による情報窃取
- システム運用委託先(クラウド、IoTシステム等)における停止事故・情報流出・乗っ取り


IPAの2017年度調査では、
・再委託先以降の取引もある組織のうち半数以上の組織は、再委託先以降の状況を把握していない。
・社内ルールに基づく対策の判断に委託元と委託先で大きな差がある
・委託元のセキュリティ要件は仕様書等で委託先に明示できていない(具体的な情報セキュリティ対策を仕様書等に明記していない)
IPAの2018年度調査では、
・「秘密保持」については、IT業務委託契約時に明確に責任範囲にしているが、「新たな脅威(脆弱性)が顕在化した場合の情報共有・対応」については、あまり明確化されていない
・未知の脆弱性に対する考え方に委託元と委託先の意識にギャップがある
となっており、サプライチェーンセキュリティ対策していくにあたり課題も多い。

2019ipa2-2

独立行政法人情報処理推進機構(IPA) セキュリティセンター 研究員 ジリエ 陽子 氏

サイバーセキュリティのはじめの一歩が知りたい方には、本日ざっと解説したサイバーセキュリティ経営ガイドラインVer 2.0実践のためのプラクティス集をよりお使いいただきたい。ダウンロードはこちらから(簡単なアンケート回答必須)


プラクティス集は、簡潔・ビジュアル、仮想企業のプラクティスだが 実例に基づいて記載していることが特徴であり、

第1章:経営とサイバーセキュリティ ⇒ なぜサイバーセキュリティが経営課題となるのか
第2章:サイバーセキュリティ経営ガイドライン実践のプラクティス ⇒
    事例をベースとした重要10項目の実践手順、実践内容、取組む際の考え方
第3章:サイバーセキュリティ対策を推進する担当者の悩みと解決のプラクティス ⇒ 
    サイバーセキュリティ対策を実践する上での悩みに対する取組事例

の3章の構成となっており、「はじめの一歩」としてできることから始める、工夫でリソース不足を補う「悩み」に応えているので、是非確認いただきたい。