企業におけるセキュリティ意識の変化

最近、企業においてセキュリティ対策への意識が向上しているように感じる。各社の情報セキュリティ部門を訪問すると事業部門やサプライチェーンのセキュリティを高めようとする動きが見えるのだ。しかし、セキュリティを高めると言ってもどのレベルを目標とすれば良いのか疑問に思う人も多いだろう。今回は、このようなケースで参考になるガイドラインを紹介する。

　この理由は、徳島県の公立病院で起きたランサムウェアに関するインシデントに一因があるのではないかと推測する。同病院では、脆弱性が放置されていたVPN装置からランサムウェアに侵入された可能性が高いと言われている。VPN装置の脆弱性が放置されていた原因として考えられているのが下記3点だ。

・病院のIT担当者が1人しかおらずセキュリティ対策に手が回らなかった
・VPN装置に関する脆弱性対策業務などの保守は機器の提供・設置を担当したITベンダーの契約範囲外であった
・保守の在り方が事前に病院とITベンダーの間で調整されていなかった

　責任範囲の曖昧さゆえに、継続的にセキュリティレベルを保つためにも重要となる保守が宙ぶらりんとなってしまっていたのだ。

　これらの背景を踏まえ、セキュリティ対策は自分たちで責任を持って考えなければならないという意識の変化が出てきたことが伺える。

　セキュリティを強化するためには、各事業部門やサプライチェーンも含めて対策することが重要だ。ではどのレベルまでセキュリティ対策を指示すればよいのか。

　参考にしてほしいのが、日本自動車工業会と日本自動車部品工業会が共同で策定した「自工会/部工会・サイバーセキュリティガイドライン V2.0」だ。自動車産業全体のサイバーセキュリティ対策のレベルアップや対策レベルの効率的な点検を推進することを目的として作成されたもので、ほかの業界においても参考になる。

　同ガイドラインの冒頭を読んでみると、「ITインフラ環境や工場等の制御システムをはじめとして企業が管理するより多くの情報システムがインターネットにつながること」や「サプライチェーンを狙ったサイバー攻撃」を背景として取り上げており、テレワークやクラウド環境のセキュリティも意識した内容になっている。

　同ガイドラインは現在第1弾が公開されており、第1弾で対象となるのが、特定の業務領域によらず全体の業務に共通するエンタープライズ領域（業務基盤となるOA環境）だ。

　自動車産業に関わる中小企業から大企業まで全ての企業が活用できるよう、レベル分けされているところがほかの業界でも参考となる部分と言える。業界における立ち位置や取り扱う情報によって目指すべきレベルが示されており、理解しやすくまとめられていると感じる。（表1）

　例えば、「総合部品メーカー」や「電子部品・回路」、「自動車販売・部品販売」など全12種の中から会社分類を設定できるチェックシートも併せて提供されている。そのため、幅広いサプライチェーン企業でのセキュリティ対策状況のチェックが可能だ。

　ガイドラインでは24のカテゴリー分類に対し、153の要求項目が設けられている。Lv1が50項目、Lv2が74項目、Lv3が29項目だ。これらをチェックしてシートに入力すると、カテゴリーごとの達成率をレーダーチャートで確認することができるのだ。（図1）

　カテゴリーは、組織に係る方針、ルール、法令順守、体制、教育、取引先との関係などのチェック項目が2／3以上を占めている。アクセス権、物理セキュリティ、通信制御など技術的な観点でのチェック項目は1／3以下という印象だ。

　これらのチェック項目は、企業全体に課せられる達成条件であり、サプライチェーンや調達先に課すチェックとしてそのまま適用できるのではないだろうか。子会社や各事業部門にチェックを求める場合は、方針や法令順守、企業グループ全体のITインフラなどに関するチェック項目は省略できるだろう。

　まずは、自工会/部工会・サイバーセキュリティガイドラインV2.0を参考に、自社においてどのようなチェックを行えばよいのかを確認していただきたい。各項目において、OKやNGとした判断基準に差異が発生しないように、OKとした理由を明示的にチェックシートの評価の根拠記入欄に記載しておくのもよいだろう。

　まずは、現状を把握した上でどのように対策するかを検討し、段階的にセキュリティ対策を進めていただきたい。

◀「自工会/部工会・サイバーセキュリティガイドライン V2.0」を読みたい方はこちら！