「サイバーセキュリティ経営ガイドライン ver3.0」の改定ポイントーセキュリティ被害にみる企業の優先課題

9分でわかる「サイバーセキュリティ経営ガイドライン ver3.0」の改定ポイントーセキュリティ被害にみる企業の優先課題

サイバーセキュリティ経営ガイドラインとは

現在、ITの利活用は企業や多くのビジネスにおいて不可欠なものとなっています。一方で、企業のIT利用が増加すればするほど、サイバー攻撃者の観点からすれば、アタックサーフェス（攻撃対象領域）^※1が拡大することになります。攻撃者にとっては攻撃の選択肢が増え、新たな攻撃手法が可能になることに繋がります。
※1アタックサーフェス（攻撃対象領域）とは、サイバー攻撃を受ける可能性があるデバイスやソフトウェアを指します。パソコン、モバイル、IoTデバイス、サーバ、VPN機器、クラウドサービス、サプライチェーンを構成するサービスなどがあげられます。また、アタックサーフェス（攻撃対象領域）は侵入起点だけでなく、侵入後に踏み台となる機器や、重要資産が保存されているサーバなども含みます。

経営者は、企業戦略としてサイバーセキュリティリスクをビジネスリスクであることを理解し、ITやセキュリティに対する投資・対策を決定していく必要があります。経済産業省では、独立行政法人情報処理推進機構（IPA）とともに、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象にした、経営者がサイバーセキュリティ対策を推進するための「サイバーセキュリティ経営ガイドライン」を策定しています。
サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部（CISO等）に指示すべき「重要10項目」がまとめられています。

＜経営者が認識すべき3原則＞
（1）経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要
課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
（2）サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
（3）平時及び緊急時のいずれにおいても、サイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要

＜サイバーセキュリティ経営の重要10項目＞
指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 サイバーセキュリティリスク管理体制の構築
指示3 サイバーセキュリティ対策のための資源（予算、人材等）確保
指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 サイバーセキュリティリスクに効果的に対応する仕組みの構築
指示6 PDCAサイクルによるサイバーセキュリティ対策の継続的改善
指示7 インシデント発生時の緊急対応体制の整備
指示8 インシデントによる被害に備えた事業継続・復旧体制の整備
指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
指示10 サイバーセキュリティに関する情報の収集、共有及び開示の促進

引用サイバーセキュリティ経営ガイドライン Ver3.0

サイバーセキュリティ経営ガイドライン Ver3.0の改定ポイント

2023年3月に改訂された「サイバーセキュリティ経営ガイドラインVer.3.0」では、ランサムウェア攻撃による被害の顕在化や、サプライチェーン全体におけるセキュリティ対策推進の重要性の高まりといった昨今の情勢の変化を踏まえ、各項目の見直しや対策例の拡充等が行われました。
経済産業省によると、主な改訂ポイントを次のように述べています。

＝＝
・経営者が認識すべき3原則について、取引関係にとどまらず、国内外のサプライチェーンでつながる関係者へのセキュリティ対策への目配り、総合的なセキュリティ対策の重要性や社外のみならず、社内関係者とも積極的にコミュニケーションをとることの必要性等の追加・修正
・指示5「サイバーセキュリティリスクに効果的に対応する仕組みの構築」について、サイバーセキュリティリスクの識別やリスクの変化に対応した見直しやクラウド等最新技術とその留意点などについて、追記・修正
・指示8「インシデントによる被害に備えた事業継続・復旧体制の整備」について、事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備やサプライチェーンも含めた実践的な演習の実施等について追記・修正
・指示9「ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策」について、サプライチェーンリスクへの対応に関しての役割・責任の明確化、対策導入支援などサプライチェーン全体での方策の実行性を高めることについて追記・修正
・指示10「サイバーセキュリティに関する情報の収集、共有及び開示の促進」について、有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることやステークホルダーへの情報開示について追記・修正
・その他、全体的な見直し

引用経済産業省
＝＝

今回の改訂では、日本企業を取り巻くセキュリティリスクを網羅的に踏まえ、対応を要請する内容になっています。特に2022年に実際に発生し、医療サービス停止や製造ライン停止など事業継続に深刻な影響を与えた、サプライチェーン（取引先）を経由するサイバーセキュリティ被害を考慮した内容になっていることが伺えます。加えて、Ver3.0の概要文では、サイバーセキュリティが企業リスクマネジメントの一部として明示され、経営者のリーダーシップ発揮と関与、責任をさらに強く求める文言が示されることになりました。本ガイドラインで、企業と経営者のセキュリティへの責任がより明確に示されたことで、今後ステークホルダーの企業評価のポイントとしてセキュリティはより重要なものになっていくでしょう。

それでは、企業の経営者は、事業継続ために考慮すべきサイバーセキュリティリスクおよびその対策はどのように判断すれば良いのでしょうか。次章では、昨今のサイバーセキュリティ被害に関する統計データを確認しながら、国内企業が考慮すべきサイバーセキュリティリスクと対策のポイントを紹介します。

図1：サイバーセキュリティ経営ガイドライン Ver2.0、3.0の概要文比較^※2
（サイバーセキュリティがリスクマネジメントの一部として明示、さらに経営者のリーダーシップ発揮と関与を求める内容になっている）
※2サイバーセキュリティ経営ガイドライン Ver2.0、3.0より引用

顕在化したランサムウェア被害とサプライチェーンセキュリティリスク

トレンドマイクロの「2022年年間サイバーセキュリティレポート」によれば、2022年1年間にトレンドマイクロ製品がブロックした脅威の総数は約1,464億を超えました。
トレンドマイクロ製品が検出した各種脅威のイベントとクエリ数の推移は図1の通りです。2021年に比べ、ブロックされた脅威全体が55％増加し、特にブロックした不正ファイルは242％増加しました。ブロックされた600億を越える不正ファイルには、同一端末やネットワークへの再感染も含まれており、ワームの検出数が多くを占めていることが増加の一因と考えられます。ワームはネットワーク内に留まり、増殖することが主な機能であるため、駆除することが困難な脅威のひとつです。
不正ファイルの観点では、日本でも、メールに添付されるOfficeファイルのマクロ機能を介して感染拡大を図るEMOTETの活動が繰り返し報告されました。EMOTETは感染環境で窃取したメールに対し、以前にやり取りした関係者のメール「返信」や「転送」の形式で攻撃メールを送信する攻撃手法で感染を拡大してきました。このように人間を騙す手口に対しては、メール対策などの技術的な対策はもちろん、従業員のセキュリティ意識を高めるための教育や方策を行うことが重要になってきます。

また、トレンドマイクロ製品で検出した脅威数の地域分布では、ランサムウェアの脅威は主にアジア地域およびアメリカ大陸に集中していることが分かりました。また、不正アプリ検出数といったモバイルセキュリティの分野においてもアジア地域が最も上位にランクされています。

実際、2022年には日本でも多くのランサムウェア感染被害が公表されています。記憶に新しいところでは、2022年10月に発生した、大阪急性期・総合医療センターの電子カルテシステムなどの基幹システムに障害を及ぼすランサムウェア被害があります。大阪急性期・総合医療センターは、この被害により、救急診療や外来診療、予定手術などの診療機能に大きな影響があったことを2023年3月に報告書で公表しました。サプライチェーンの観点で言えば、ほぼ同時にランサムウェア被害を受けていた給食委託先の取引業者のネットワークを経由した攻撃が被害原因である可能性が指摘されています。これは、標的組織の関連組織や子会社、取引先などを侵害し、業務上の繋がりを利用して標的組織へ攻撃を行う、典型的なビジネスサプライチェーン攻撃であったものといえます。

図4：2022年10月に発生した医療機関におけるランサムウェア被害の概要図（公表を元に整理）

また、2022年に実施したトレンドマイクロのグローバル調査によると、調査対象企業の52％がランサムウェア攻撃によるサプライチェーンの関連企業の被害を受けていることが分かりました。

攻撃者は、標的組織のネットワークに侵入する際に、サプライチェーンで繋がる関連企業を感染経路とすることは常套手段となっています。攻撃者は常に弱点を探す中で、「サプライチェーン」に着目しています。サプライチェーンの中で相対的にセキュリティの弱い組織を狙い、業務上の関係性を持つ他の組織への攻撃の足掛かりとします。このような状況下においては、自組織のセキュリティだけを高めても限界があり、自組織と関係のある他組織のセキュリティ状況も把握する必要があります。このような認識が進めば、各組織が自身のセキュリティ状況についての説明責任を負うことが求められるようになるでしょう。

図5：ランサムウェア攻撃におけるサプライチェーン関連企業からのセキュリティリスク

まとめ

多くの企業にとっては、複雑なオンライン上での保守運営や販売業務、デジタルデータの保護、リモートワークなど、事業を継続する上ではITの活用が避けて通ることはできなくなっています。一方で、繰り返しになりますが、企業のIT利用が増加すればするほど、サイバー攻撃者の観点からすれば、アタックサーフェス（攻撃対象領域）が拡大することになります。攻撃者にとっては攻撃の選択肢が増え、新たな攻撃手法が可能になることに繋がります。また、特に金銭を目的としたサイバー犯罪は「ビジネス化」が進んでいます。自身の活動継続のために、一般企業を模倣したような組織運営を行い、特定の攻撃手法や特定のターゲットに依存しない多角的な「ビジネスモデル」の構築を試みるグループさえいます。

このような状況において企業経営者はサイバーセキュリティ対策をどのように推進するか、投資をするかは頭を悩ませるポイントとなるでしょう。独立行政法人情報処理推進機構（IPA）では、「サイバーセキュリティ経営ガイドライン」をベースに、サイバーセキュリティの実践状況をセルフチェックで可視化するためのツールを公開しています（「サイバーセキュリティ経営可視化ツール」はこちら）。このツールを使うことで、企業は、サイバーセキュリティ経営ガイドラインで定める重要10項目の実施状況を5段階の成熟モデルで可視化（レーダーチャート表示）することができます。自社のサイバーセキュリティ対策状況を定量的に把握することで、サイバーセキュリティに関する方針の策定、適切なセキュリティ投資の実行等が可能となります。

また、サイバーセキュリティリスクが事業継続に大きな影響を与えるビジネスリスクである以上、経営者もセキュリティに積極的に関与していくことが必要です。以下に、企業や組織が念頭に置くべきセキュリティプラクティスを紹介します。
・資産管理：自社の資産を調査し、その重要性、潜在的な脆弱性、攻撃を受ける可能性、および資産から情報漏えいの深刻度などを決定する
・クラウドセキュリティの設定：既知の脆弱性などが悪用されないよう、クラウドインフラのセキュリティを考慮して設定する
・適切なセキュリティプロトコル：脆弱性の悪用を最小限に抑えるため、ソフトウェアの迅速な更新体制を講じるベンダーがセキュリティ更新を提供する間などは、仮想パッチなどのオプションが活用できる体制も整えておく
・アタックサーフェス（攻撃対象領域）の可視化：企業のさまざまな技術、ネットワーク、およびそれらを保護するセキュリティシステムの監視体制を徹底する