昨今企業やシステムが受けるサイバー攻撃は年々増えてきています。数年前には、某大手自動車会社のサプライチェーンの関連企業がマルウェア被害を受けたことで、工場の製造ラインが止まり、生産できない状態に陥ったニュースは有名な話かと思います。車などの大きな精密機器は様々な部品で構成されていますので、一企業だけでは作れません。複数の企業から製品やサービスを購入し、各企業がさらに別の企業から購入、を繰り返し、サプライチェーンは成り立っています。
この様な複雑なサプライチェーンの下では、発注先ではどの様なセキュリティ対策をとっているのか発注元からは見えないです。また、受注者側ではどの程度の対策をとればよいか不透明です。
この様に、(特に中小企業様)発注者と受注者双方にとって課題のある状況です。
日本政府として、サプライチェーン強化に向けたセキュリティ対策評価制度の構築に向けて、2024年頃にワーキンググループが発足しました。2026年度中の制度開始を目標として動いており、経済産業省より中間とりまとめの概要が今年の4月に公表されました。サプライチェーンにおける重要性を踏まえた上で満たすべき各企業の対策を提示しつつ、その対策状況を可視化する仕組みの検討を進めており、本年4月に制度の概要を整理した中間とりまとめしたものです。また、2026年10月開始を目指し、制度運営基盤の整備や利用促進等が進められています。
特に、サプライチェーン間の結び付きが強固・複雑な自動車、半導体、主要製造業等において、優先的に本制度の利用を促進しています。
たとえば、
この制度におけるセキュリティ対策の評価基準は以下★3~★5です。
★1と2は、中小企業向けの情報セキュリティ対策自己宣言制度「SECURITY ACTION」でカバーされています。
|
|
★★★三つ星(Basic) |
★★★★四つ星(Standard) |
★★★★★五つ星 |
|
想定される脅威 |
広く認知された脆弱性等を悪用する一般的なサイバー攻撃 |
•供給停止等によりサプライチェーンに大きな影響をもたらす企業への攻撃 •機密情報等、情報漏えいにより大きな影響をもたらす資産への攻撃 |
未知の攻撃も含めた、高度なサイバー攻撃 |
|
対策の基本的な考え方 |
全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的な組織的対策とシステム防 御策を中心に実施(自己評価) |
サプライチェーン企業等が標準的に目指すべきセキュリティ対策として、組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施(第三者評価) |
サプライチェーン企業等が到達点として目指すべき対策として、国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、 システムに対しては現時点でのベストプラクティスに基づく対策を実施 |
|
脅威に対する達成水準(イメージ) |
•組織内の役割と責任が定義されている。 •一般的なサイバー脅威への対処を念頭に、自社IT基盤への初期侵入、侵害拡大等への対策が講じられている。 •インシデント発生時に、取引先を含む社内外関係各所への報告・共有に必要な最低限の手順が定義、実施されている。 |
•セキュリティ対策が組織的な仕組みに基づいて実施され、継続的に改善している。 •取引先のシステムやデータを含む内外への被害拡大や攻撃者による目的遂行のリスクを低減する対策が講じられている。 •事業継続に向けた取組や取引先の対策状況の把握など、自社の位置づけに適合したサプライチェーン強靭化策が講じられている。 |
•組織において国際規格等に基づくマネジメントシステムが確立されている。 •リスクを適宜適切に把握した上で、インシデントに対して迅速に検知・対応するなど、ベストプラクティスに基づくサイバーレジリエンス確保策が講じられている。 •取引先等への指導や共同での訓練の実施など、自社サプライチェーン全体のセキュリティ水準向上に資する対策が講じられている。 |
今回、サプライチェーン強化に向けたセキュリティ対策評価制度の構築の中間とりまとめでは、「★★★三つ星」と「★★★★四つ星」に焦点が当てられています。特に、サプライチェーンを構成する企業様にとっては、自社のセキュリティ対策が適切になされていることを証明するためにこの制度の認定を取得することで、社外にアピールできます。この制度がサプライチェーン全体に広がることで、業界全体のセキュリティ対策水準を向上させようという制度です。
詳細は経済産業省のサイトで確認できますが、「★★★★四つ星」で求められている対策については、社内の体制構築(社内プロセスやルール作り、社員教育)、IT要件(UTM、SASE、エンドポイントセキュリティの導入、バックアップやBCP対策など)で大部分は対応可能です。ただ、その中で「重要システムのデータベースは暗号化すること」とチェック項目があります。なお、自動車産業は先行しており、自動車産業サイバーセキュリティガイドラインにも同様の記載があります。
|
大分類:攻撃等の防御 中分類:データセキュリティ |
多くの顧客情報や製品データ等をデータベース化して管理していますが、「★★★★四つ星」を満たすためにはデータベースの暗号化が必要です。暗号化ってどうすれば?導入ハードルが高そうと思うかもしれません。
しかし、Thales社のCipherTrust Manager/CTE(透過暗号)製品であれば、既存システムを変更することなく、比較的容易にデータベース暗号、ファイル透過暗号が実現できます。
必要なプロセス、ユーザーにのみ復号化権限を付与するセキュリティポリシーを作成し、エージェントに配布することで、データベースの透過暗号化が容易に実装できます。また、データベースに限らず、ファイルサーバー上のファイルなども容易に暗号化できます。ファイル/フォルダ単位での暗号化、管理者権限/特権ユーザーでは復号化不可とする様な柔軟なポリシー制御が可能です。
当該製品(仮想版)は、90日間のトライアルライセンスで透過暗号機能が無償で利用できます。PoCによる評価を希望される場合にはぜひ弊社までお問合せ下さい。弊社の長年培ったセキュリティ知識と製品ナレッジで、構築支援およびお客様の抱える課題解決をサポートさせて頂きます。
