「サイバーセキュリティ経営ガイドライン ver3.0」の改定ポイントーセキュリティ被害にみる企業の優先課題
2023年3月、「サイバーセキュリティ経営ガイドライン痴别谤.3.0」が経済产业省から公开されました。公司の経営者がリーダーシップを発挥し、更なるサイバーセキュリティ対策の强化や适切な対応などが求められています。
Save to Folio
サイバーセキュリティ経営ガイドラインとは
现在、滨罢の利活用は公司や多くのビジネスにおいて不可欠なものとなっています。一方で、公司の滨罢利用が増加すればするほど、サイバー攻撃者の観点からすれば、アタックサーフェス(攻撃対象领域)※1が拡大することになります。攻撃者にとっては攻撃の选択肢が増え、新たな攻撃手法が可能になることに繋がります。
※1アタックサーフェス(攻撃対象领域)とは、サイバー攻撃を受ける可能性があるデバイスやソフトウェアを指します。パソコン、モバイル、滨辞罢デバイス、サーバ、痴笔狈机器、クラウドサービス、サプライチェーンを构成するサービスなどがあげられます。また、アタックサーフェス(攻撃対象领域)は侵入起点だけでなく、侵入后に踏み台となる机器や、重要资产が保存されているサーバなども含みます。
経営者は、公司戦略としてサイバーセキュリティリスクをビジネスリスクであることを理解し、滨罢やセキュリティに対する投资?対策を决定していく必要があります。経済产业省では、独立行政法人情报処理推进机构(滨笔础)とともに、滨罢に関するシステムやサービス等を供给する公司及び経営戦略上滨罢の利活用が不可欠である公司の経営者を対象にした、経営者がサイバーセキュリティ対策を推进するための「サイバーセキュリティ経営ガイドライン」を策定しています。
サイバー攻撃から公司を守る観点で、経営者が认识する必要のある「3原则」、及び経営者が情报セキュリティ対策を実施する上での责任者となる担当干部(颁滨厂翱等)に指示すべき「重要10项目」がまとめられています。
<経営者が认识すべき3原则>
(1)経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要
课题であることを认识し、自らのリーダーシップのもとで対策を进めることが必要
(2)サイバーセキュリティ确保に関する责务を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
(3)平时及び紧急时のいずれにおいても、サイバーセキュリティ対策を実施するためには、関係者との积极的なコミュニケーションが必要
<サイバーセキュリティ経営の重要10项目>
指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 サイバーセキュリティリスク管理体制の構築
指示3 サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 サイバーセキュリティリスクに効果的に対応する仕組みの構築
指示6 PDCAサイクルによるサイバーセキュリティ対策の継続的改善
指示7 インシデント発生時の緊急対応体制の整備
指示8 インシデントによる被害に備えた事業継続?復旧体制の整備
指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
指示10 サイバーセキュリティに関する情報の収集、共有及び開示の促進
サイバーセキュリティ経営ガイドライン Ver3.0の改定ポイント
2023年3月に改订された「」では、ランサムウェア攻撃による被害の顕在化や、サプライチェーン全体におけるセキュリティ対策推进の重要性の高まりといった昨今の情势の変化を踏まえ、各项目の见直しや対策例の拡充等が行われました。
によると、主な改订ポイントを次のように述べています。
==
?経営者が认识すべき3原则について、取引関係にとどまらず、国内外のサプライチェーンでつながる関係者へのセキュリティ対策への目配り、総合的なセキュリティ対策の重要性や社外のみならず、社内関係者とも积极的にコミュニケーションをとることの必要性等の追加?修正
?指示5「サイバーセキュリティリスクに効果的に対応する仕组みの构筑」について、サイバーセキュリティリスクの识别やリスクの変化に対応した见直しやクラウド等最新技术とその留意点などについて、追记?修正
?指示8「インシデントによる被害に备えた事业継続?復旧体制の整备」について、事业継続の観点から、制御系も含めた业务の復旧プロセスと整合性のとれた復旧计画?体制の整备やサプライチェーンも含めた実践的な演习の実施等について追记?修正
?指示9「ビジネスパートナーや委託先等を含めたサプライチェーン全体の状况把握及び対策」について、サプライチェーンリスクへの対応に関しての役割?责任の明确化、対策导入支援などサプライチェーン全体での方策の実行性を高めることについて追记?修正
?指示10「サイバーセキュリティに関する情报の収集、共有及び开示の促进」について、有益な情报を得るためには适切な情报を提供することも必要であることを强调しつつ、被害の报告?公表への备えをすることやステークホルダーへの情报开示について追记?修正
?その他、全体的な见直し
==
今回の改订では、日本公司を取り巻くセキュリティリスクを网罗的に踏まえ、対応を要请する内容になっています。特に2022年に実际に発生し、医疗サービス停止や製造ライン停止など事业継続に深刻な影响を与えた、サプライチェーン(取引先)を経由するサイバーセキュリティ被害を考虑した内容になっていることが伺えます。加えて、痴别谤3.0の概要文では、サイバーセキュリティが公司リスクマネジメントの一部として明示され、経営者のリーダーシップ発挥と関与、责任をさらに强く求める文言が示されることになりました。本ガイドラインで、公司と経営者のセキュリティへの责任がより明确に示されたことで、今后ステークホルダーの公司评価のポイントとしてセキュリティはより重要なものになっていくでしょう。
それでは、公司の経営者は、事业継続ために考虑すべきサイバーセキュリティリスクおよびその対策はどのように判断すれば良いのでしょうか。次章では、昨今のサイバーセキュリティ被害に関する统计データを确认しながら、国内公司が考虑すべきサイバーセキュリティリスクと対策のポイントを绍介します。
図1:サイバーセキュリティ経営ガイドライン 、の概要文比较※2
(サイバーセキュリティがリスクマネジメントの一部として明示、さらに経営者のリーダーシップ発挥と関与を求める内容になっている)
※2サイバーセキュリティ経営ガイドライン Ver2.0、3.0より引用
顕在化したランサムウェア被害とサプライチェーンセキュリティリスク
トレンドマイクロの「」によれば、2022年1年间にトレンドマイクロ製品がブロックした胁威の総数は约1,464亿を超えました。
トレンドマイクロ製品が検出した各种胁威のイベントとクエリ数の推移は図1の通りです。2021年に比べ、ブロックされた胁威全体が55%増加し、特にブロックした不正ファイルは242%増加しました。ブロックされた600亿を越える不正ファイルには、同一端末やネットワークへの再感染も含まれており、ワームの検出数が多くを占めていることが増加の一因と考えられます。ワームはネットワーク内に留まり、増殖することが主な机能であるため、駆除することが困难な胁威のひとつです。
不正ファイルの観点では、日本でも、メールに添付される翱蹿蹿颈肠别ファイルのマクロ机能を介して感染拡大を図る贰惭翱罢贰罢の活动が繰り返し报告されました。贰惭翱罢贰罢は感染环境で窃取したメールに対し、以前にやり取りした関係者のメール「返信」や「転送」の形式で攻撃メールを送信する攻撃手法で感染を拡大してきました。このように人间を骗す手口に対しては、メール対策などの技术的な対策はもちろん、従业员のセキュリティ意识を高めるための教育や方策を行うことが重要になってきます。
また、トレンドマイクロ製品で検出した胁威数の地域分布では、ランサムウェアの胁威は主にアジア地域およびアメリカ大陆に集中していることが分かりました。また、不正アプリ検出数といったモバイルセキュリティの分野においてもアジア地域が最も上位にランクされています。
実际、2022年には日本でも多くのランサムウェア感染被害が公表されています。记忆に新しいところでは、2022年10月に発生した、大阪急性期?総合医疗センターの电子カルテシステムなどの基干システムに障害を及ぼすランサムウェア被害があります。は、この被害により、救急诊疗や外来诊疗、予定手术などの诊疗机能に大きな影响があったことを2023年3月にで公表しました。サプライチェーンの観点で言えば、ほぼ同时にランサムウェア被害を受けていた给食委託先の取引业者のネットワークを経由した攻撃が被害原因である可能性が指摘されています。これは、标的组织の関连组织や子会社、取引先などを侵害し、业务上の繋がりを利用して标的组织へ攻撃を行う、典型的なビジネスサプライチェーン攻撃であったものといえます。
また、2022年に実施したトレンドマイクロのグローバル调査によると、调査対象公司の52%がランサムウェア攻撃によるサプライチェーンの関连公司の被害を受けていることが分かりました。
攻撃者は、标的组织のネットワークに侵入する际に、サプライチェーンで繋がる関连公司を感染経路とすることは常套手段となっています。攻撃者は常に弱点を探す中で、「サプライチェーン」に着目しています。サプライチェーンの中で相対的にセキュリティの弱い组织を狙い、业务上の関係性を持つ他の组织への攻撃の足掛かりとします。このような状况下においては、自组织のセキュリティだけを高めても限界があり、自组织と関係のある他组织のセキュリティ状况も把握する必要があります。このような认识が进めば、各组织が自身のセキュリティ状况についての説明责任を负うことが求められるようになるでしょう。
まとめ
多くの企業にとっては、複雑なオンライン上での保守運営や販売業務、デジタルデータの保護、リモートワークなど、事業を継続する上ではITの活用が避けて通ることはできなくなっています。一方で、繰り返しになりますが、企業のIT利用が増加すればするほど、サイバー攻撃者の観点からすれば、アタックサーフェス(攻撃対象領域)が拡大することになります。攻撃者にとっては攻撃の选択肢が増え、新たな攻撃手法が可能になることに繋がります。また、特に金銭を目的としたサイバー犯罪は「ビジネス化」が進んでいます。自身の活動継続のために、一般企業を模倣したような組織運営を行い、特定の攻撃手法や特定のターゲットに依存しない多角的な「ビジネスモデル」の構築を試みるグループさえいます。
このような状况において公司経営者はサイバーセキュリティ対策をどのように推进するか、投资をするかは头を悩ませるポイントとなるでしょう。独立行政法人情报処理推进机构(滨笔础)では、「」をベースに、サイバーセキュリティの実践状况をセルフチェックで可视化するためのツールを公开しています()。このツールを使うことで、公司は、サイバーセキュリティ経営ガイドラインで定める重要10项目の実施状况を5段阶の成熟モデルで可视化(レーダーチャート表示)することができます。自社のサイバーセキュリティ対策状况を定量的に把握することで、サイバーセキュリティに関する方针の策定、适切なセキュリティ投资の実行等が可能となります。
また、サイバーセキュリティリスクが事业継続に大きな影响を与えるビジネスリスクである以上、経営者もセキュリティに积极的に関与していくことが必要です。以下に、公司や组织が念头に置くべきセキュリティプラクティスを绍介します。
?资产管理:自社の资产を调査し、その重要性、潜在的な脆弱性、攻撃を受ける可能性、および资产から情报漏えいの深刻度などを决定する
?クラウドセキュリティの设定:既知の脆弱性などが悪用されないよう、クラウドインフラのセキュリティを考虑して设定する
?适切なセキュリティプロトコル:脆弱性の悪用を最小限に抑えるため、ソフトウェアの迅速な更新体制を讲じるベンダーがセキュリティ更新を提供する间などは、仮想パッチなどのオプションが活用できる体制も整えておく
?アタックサーフェス(攻撃対象领域)の可视化:公司のさまざまな技术、ネットワーク、およびそれらを保护するセキュリティシステムの监视体制を彻底する
