経済産業省 企業のサイバーセキュリティ対策を5段階で格付けとは

経済産業省 企業のサイバーセキュリティ対策を5段階で格付けとはのアイキャッチ画像

2024年4月4日の日本経済新聞の記事によると、2025年度に企業のサイバーセキュリティ対策を評価することで、5段階の格付けの認定ができるそうです。

自社企業や取引企業がサイバーセキュリティ対策に対しての対策を実施しているのかを対外的に数値で公表することができるようになります。 格付けはレベル1~5となる予定で1番格付けの高い値は5となります。

今回はこの「経済産業省 企業のサイバーセキュリティ対策を5段階で格付け」について、背景やその理由と各レベルで求められると考えられるサイバーセキュリティ対策について考えてみたいと思います。

 【注記】
2024年4月時点では確定内容ではないため、必ず今後の経済産業省の発表内容を確認して対策を実施してください。

セキュリティ対策を5段階で格付けの背景

これまで各企業がどこまでのサイバーセキュリティ対策を実施しているのかの「見える化」ができていない現状がありましたが、格付け制度が広まることにより各社のサイバーセキュリティ対策の評価が見えるようになります。

日本全体でこのような活動を取り組むことにより、サイバーセキュリティ対策の強化に繋がると考えられます。

また、日本のサイバーセキュリティ対策の課題は、この他にも様々なセキュリティ上の課題があり多方面から強化する必要があります。

・中小企業への普及

大手企業や公共機関などでは比較的高度なセキュリティ対策が行われていますが、中小企業におけるセキュリティ対策の普及が十分でないことがあります。

・技術の進化と対応の遅れ

サイバー攻撃の手法は日々進化しており、対策技術も追いつかない状況があります。

また、既存のシステムやインフラの更新が追いついておらず、脆弱性が残されていることも課題です。

・サイバーセキュリティの人材不足

サイバーセキュリティの専門家や技術者の不足が深刻な課題で、サイバーセキュリティの課題や需要の増加に対して供給が追いついておらず、適切な人材確保が難しい状況にあります。

日本のサイバーセキュリティ対策は着実に進展していますが、依然として課題も多く残されています。

特に人材育成や中小企業への対策普及など、今後も改善が求められる領域があります。このような様々な背景から、経済産業省は、企業のサイバーセキュリティ対策の格付けという「見える化」を行い、各企業がどこまで対策ができているのかを広く公開できるようにし、結果としてサイバーセキュリティ対策の強化に繋げるという意図があると考えられます。

5段階の格付けのレベルで求められる要件や対策はどうなるか

格付けレベル1~2 

主な対象は中小企業となる予定です。

中小企業は日々の運営において多くの課題に直面しています。

経営資源が限られている中で、サイバーセキュリティ対策は優先事項の一つとは言いにくいかもしれません。しかし、投資資金が多くないからこそ、サイバーセキュリティ対策が欠かせない理由があります。

第一に中小企業は攻撃者にとって魅力的な標的です。大手企業や政府機関に比べてセキュリティリソースが不足しているため、狙われやすいのです。

攻撃者は中小企業を通じて大手企業や重要インフラに侵入しようと試みることもあります。したがって、セキュリティ対策が不十分な中小企業は、サイバー攻撃の最初の標的となり得るのです。これは後述しますがサプライチェーンリスクを狙った攻撃です。

次に、サイバー攻撃の被害は中小企業にとって致命的なものになり得ます。情報漏洩やシステムの停止などの被害が発生した場合、企業の信頼性や信用力が損なわれる可能性があります。

特に顧客情報や取引データなどの機密情報が漏洩した場合、企業の存続にまで影響を及ぼすことも考えられます。そのため、サイバーセキュリティ対策はリスク管理の観点からも重要な要素となります。

具体的にはパソコンやサーバーのOSやアンチウイルスソフトのソフトウェアの日々の更新等は必須になると考えられますし、業務関連のソフトウェアや全員で使用するようなグループウェアなどのアクセス制限がしっかり対策されているかは求められると考えています。IDやパスワードを複雑に設定しているか、重要なデータは暗号化を実施しているのかなど基本的な対策は要件になると考えられます。

一般的に大企業より中小企業の方がサイバーセキュリティ対策に投資できる費用が少ない現状がありますが、中小企業でもこのような最低限のセキュリティ対策を実施しないと取引先の企業も安心できません。逆にサイバーセキュリティ対策の取り組みを行い、格付けを公開することで安心して取引できることをアピールすることができるとも考えられます。

格付けレベル3~4

取引先と供給網を構築する企業とあるとおり、サプライチェーンによる供給網で広くつながり取引のある企業が対象になると考えられます。

近年サプライチェーンにおけるサイバーセキュリティの重要性が増しています。なぜなら、サプライチェーンは複数の企業や組織が連携して運営されるため、1つの弱点が全体のセキュリティに影響を及ぼす可能性があるからです。サプライチェーンの一部にマルウェアなど悪意のある要素が混入し、それが後続の企業や顧客に被害を及ぼすことがあります。

最近ではランサムウェアを代表とする悪意のあるマルウェアが取引企業の端末等に感染し、サプライチェーンに関連する企業を含んで企業活動が停止するなどの事例もあります。

各企業でサイバーセキュリティ対策のレベルや対策内容が異なるのは現状では仕方の無い部分はありますが、例えばグループ会社など特に規模が多い場合は親会社と子会社との情報の共有と協力が不可欠です。

具体的にはレベル1~2で求められると想定される最低限のサイバーセキュリティ対策に加えて、情報管理の強化や責任者の配置とあるため、取引企業間との情報共有や事故が発生した際の連携や体制等の構築も考えられます。

体制以外にも技術的な要素やツールとして次世代ファイヤウォールやIDS・IPSやEDR、IDの統一管理や物理的なセキュリティ等の幅広くかつ高機能なセキュリティ対策も求められる可能性があります。

格付けレベル5

最大の格付けレベルです。

対象は電気や鉄道などのいわゆる重要インフラが対象になる予定です。

重要インフラとは、国や地域の生活や安全保障に不可欠な施設やシステムのことを指します。

例えば、電力、通信、交通、金融などがこれに該当し、こうした重要インフラを保有する企業は、最高レベルのサイバーセキュリティ対策が求められることになりますが。

その理由は幾つかあります。

・安全保障への影響

重要インフラが攻撃の標的になると、国の安全保障に深刻な影響を与える可能性があります。例えば、電力や通信が麻痺すれば、国の機能が鈍化し、緊急時に迅速な対応ができなくなります。

・経済への影響

重要インフラの攻撃や停止は経済にも大きな影響を及ぼします。金融機関のサーバー攻撃や交通機関のシステム乗っ取りなどは、大規模な経済損失を引き起こす可能性があります。

・人命への影響

一部の重要インフラには、人々の生命や安全に関わるものもあります。例えば、医療機関のシステム攻撃や交通システムの乱れは、人々の命に直結する危険を引き起こします。

具体的な対策としては、攻撃情報の官民共有など政府などとの連携も要件として求められるようになるようです。

また、何か問題が発生した場合も復旧手順等も事前に準備しておく等非常に高いレベルが求められます。

認定も第三者機関による認定のみとなる予定で、レベル5のサイバーセキュリティ対策を重要インフラ関連の企業は求められると推測されます。

また、最近広まっているゼロトラストセキュリティなどの境界型セキュリティではない考え方も求められるかもしれません。近年はテレワークや在宅ワークなども当たり前になっており、オフィスで仕事を行う時代は終焉を迎えつつあります。

分散されたデバイスやデータなどは、オフィスネットワークだけを防御する境界型セキュリティでは限界を迎えているため、ゼロトラストなどの考え方が広まっています。

サーバーやグループウェアやネットワークの対策はもちろんなのですが、サーバー等はクラウドサービスも広く浸透しているため、現在では端末が中心の時代になっているため、端末の紛失や盗難された場合の暗号化やリモートワイプなどによる端末の遠隔データ消去などの情報漏洩対策も求められる可能性があります。

まとめ

経済産業省 企業のサイバーセキュリティ対策を5段階で格付けについてご紹介しました。

企業がサイバーセキュリティ対策に取り組む理由は多岐にわたりますが、まずは企業や個人がその重要性を明確に理解することが不可欠です。

企業は顧客情報、従業員情報、取引データなど、多くの機密情報を保有しています。これらの情報が漏洩したり、改ざんされたりすれば、企業の信頼性や信用力が失われるだけでなく、法的な責任や経済的な損失が発生する可能性があります。

サイバー攻撃によるデータ漏洩やシステム停止は、企業の存続に直結するリスクです。競争激化の中で、セキュリティ対策が不十分な企業は顧客や取引先から信頼を失い、競争力を失う可能性が高まります。

最近では個人情報保護法などの法的規制が存在します。これらの規制に適合するためにも、企業は適切なセキュリティ対策を実施する必要があります。規制に違反すると、罰金や法的責任を負うことになります。

顧客や取引先は、セキュリティに関するリスクを最小限に抑えることを求められるような時代にもっとなります。

特に大手企業や政府機関との取引においては、セキュリティ要件を満たすことが前提となり、セキュリティ対策はビジネスの信頼関係を築くための重要な要素となります。

上記の理由から、企業はサイバーセキュリティ対策に取り組むことが不可欠です。 今後発表されると考えられる「経済産業省 企業のサイバーセキュリティ対策を5段階で格付け」を、是非皆さんで取り組んでいきましょう。

ワンビ株式会社
セキュリティエバンジェリスト 井口 俊介

高等専門学校卒業。大手企業のミッションクリティカルシステムのアカウントサポートを担当。
その後プロジェクトマネージャーにてITインフラの導入に携わる。
2020年からワンビ株式会社でエンドポイントセキュリティのプリセールスとして従事。営業技術支援、セミナー講演、コラムの執筆など幅広くセキュリティ業務に携わる。