サイバーセキュリティ対策についての産業界へのメッセージのポイント

昨今の情勢を踏まえると、サイバー攻撃事案のリスクは高まっており、ランサムウェアや Emotet（エモテット）と呼ばれるマルウェアを用いた攻撃をはじめ、サイバー攻撃による被害が増加傾向にあります。

一方で、企業におけるサイバーリスク対策は進んでおらず、IPA（独立行政法人情報処理推進機構）の「2021年度中小企業における情報セキュリティ対策の実態調査報告書**」によると、2016年度調査との比較では、中小企業における対策の実施状況の改善はわずかであり、更なる対策の必要性の訴求や対策の実践に向けた支援の必要性が明らかになっていたのです。

第7回会合では、サプライチェーンのサイバーセキュリティ強化の取組推進に向けた方策として、ソフトウェアの脆弱性対応強化のためのSBOM***の活用や、サイバーセキュリティお助け隊サービスの活用可能性、サイバーインシデントに係る事故調査の体制整備に向けた取組など、官民が連携して取り組む施策について、活発な意見交換が行われました。また、第6回会合から継続して、デジタル化が急加速する中でのサイバー脅威が常態化する「Cyber New Normal」における 6 つの処方箋が提示されたのです。

6つの処方箋

1. サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）の具体化

2. ソフトウェアの脆弱性対応強化（脆弱性情報の共有、SBOM）

3. 医療分野での対応（SBOM、お助け隊）

4. 「開発のための投資」から「検証のための投資」へのシフト

5. サプライチェーンセキュリティ確保のための産業界一丸となった対応

6. Like-minded の関係強化（国際情勢）

6つの処方箋は、単一の企業で行うサイバーリスク対策の限界を示唆しており、産業分野全体や地域コミュニティ、またはサプライチェーンを構成する全ての企業・団体およびIT事業者が一丸となって対策に取り組むことが計画されています。経済産業省発の「サイバーセキュリティお助け隊****」の医療分野での活用が検討されたり、中小企業にとって身近な相談相手でもある地域金融機関や地域でのコミュニティ活動を通じて、中小企業を含むサプライチェーン全体のサイバーセキュリティ対策の底上げが検討されるなど、中小企業に向けた対策支援の強化が期待されます。同研究会およびワーキンググループでの論議・検討事項に注目いただき、サイバーリスク対策の参考としてください。

* 2017年12月、産業界を代表する経営者、インターネット時代を切り開いてきた学者等から構成されて立ち上げ。４つのアクションプラン（①サプライチェーン強化パッケージ ②経営強化パッケージ ③人材育成・活躍促進パッケージ ④ビジネスエコシステム創造パッケージ）を掲げ、3 つのワーキンググループ（①制度・技術・標準化 ②経営・人材・国際 ③サイバーセキュリティビジネス化）が活動中。
** プレス発表「2021年度中小企業における情報セキュリティ対策の実態調査報告書」を公開
https://www.ipa.go.jp/about/press/20220331.html
*** ソフトウェアの成分構成を表すもの（Software Bill of Materials）。自動車業界や医療機器業界を中心として国際標準化が進められたが、ソフトウェアサプライチェーン攻撃の深刻さが認識される中、IT 業界全体で普及に向けた取組が本格化している。
**** 2019年度・2020年度実証事業で得られた知見に基づき、実証参加事業者がサービスを開発。サービス普及に向け、2021年度よりサービスブランドを設立、当社「防検サイバー」が登録されている。

MS&ADインターリスク総研株式会社発行のESGリスクトピックス2022年6月（No.3）を基に作成したものです。