世界各国のサイバーセキュリティ評価制度を考察~日本の新たな枠組みに向けたヒント~
日本でも検討が進む組織のサイバーセキュリティ評価制度。世界各国の評価制度はどのようなものなのでしょうか?日本の制度開始前のヒントを得るために、各国の評価制度を比較・考察します。
はじめに
サイバーセキュリティの脅威が深刻化する中、各国は組織のサイバー対策を評価・検証するためのセキュリティ評価制度を導入しています。これらの制度は、より広範なサイバー空間の安全性を高めることを目的として、組織が基本的なサイバーセキュリティ基準を遵守し、機密情報を保護し、ステークホルダーからの信頼を築くことを目的としています。
日本では、経済産業省が国内のサイバー空間の強靭性(レジリエンス)確保のため、セキュリティ評価制度の導入を計画しています。この提案は、「サイバー攻撃の高度化」と「サプライチェーンセキュリティリスクの顕在化」が進む中、重要なタイミングで打ち出されました。特に、金融や保険などの業界は高度な機密情報を取り扱っており、強固な防御体制が求められています。
こうした評価制度を理解することは、ガバナンス、リスク管理、コンプライアンスに関わる専門家にとって、事業の継続性を確保する上で不可欠です。また、日本が国家レベルでサイバーセキュリティの枠組みを構築しようとする動きは、サプライチェーンにおけるセキュリティリスク対策を本丸とした世界的なサイバーセキュリティガバナンスの潮流と一致しており、国内の組織が新たな規制に備え、国際基準に適合した対策を講じることが求められています。
組織向けのセキュリティ評価制度とは?
セキュリティ評価制度とは、組織のサイバーセキュリティ対策の成熟度や有効性を評価するための体系的な枠組みです。これらの制度には、監査、認証、コンプライアンス評価が含まれ、組織のサイバーセキュリティ対応力をレベルごとに分類する仕組みが一般的です。
こうした枠組みは単なる技術的なツールではなく、組織のガバナンス戦略の重要な要素でもあります。具体的には、以下のような目的を果たします。
1. サイバーセキュリティリスクの軽減:組織の脆弱性を特定し、新たな脅威に対する強固な防御策を講じることで、リスクを最小限に抑えます。
2. 透明性の向上:測定可能な基準を提供することで、組織のセキュリティに対する取り組みをステークホルダーに示し、信頼を確保します。
3. コンプライアンスの確保:国際的および地域的な規制に準拠することで、法的・業務的・評判リスクの低減を図ります。
日本が導入を予定している評価制度は、こうした目的を踏まえ、国内のサイバーセキュリティ対策の課題を解決することが期待されています。現在の日本には、サイバーセキュリティ対応力を統一的に評価する公的な枠組みが存在せず、サイバー空間における安全性の全体最適を目指すための課題の1つとなっています。この制度を導入することで、個社が客観的評価に基づいた戦略的なセキュリティ強化に取り組めるようになることが期待されます。
各国では、それぞれの規制、経済状況、サイバーセキュリティ環境に適したセキュリティ評価制度が導入されています。本稿では、以下に主要な制度の例を挙げ、日本の制度がどのように構築される可能性があるかを探ります。
サイバーセキュリティ成熟度モデル認証(CMMC: Cybersecurity Maturity Model Certification、以降CMMC)は、米国国防総省(DoD: U.S. Department of Defense)が開発した進化中のフレームワークであり、防衛産業基盤(DIB: Defense Industrial Base)が機密情報を適切に保護できるようにすることを目的としています。このプログラムは、情報セキュリティを強化し、米国国防総省の契約企業や下請け企業が厳格なサイバーセキュリティ要件を満たしていることを保証するために設計されました。サイバーセキュリティの脅威が増大する中、CMMCは米国の防衛業務における重要なデータとインフラを保護するための重要な仕組みとなっています。
防衛分野は頻繁にサイバー攻撃の標的となり、国家支援を受けているとされる標的型攻撃者グループが契約企業のネットワークの脆弱性等を悪用して機密情報にアクセスしようとするケースが増えています。こうしたリスクの高まりに対応するため、米国国防総省はCMMCプログラムを導入し、サイバーセキュリティ対策を調達プロセスに組み込みました。管理対象非機密情報(CUI: Controlled Unclassified Information)や連邦契約情報(FCI: Federal Contract Information)を扱う企業は、指定されたサイバーセキュリティ基準を遵守していることを証明しなければ、国防関連の契約を獲得・維持することができません。
CMMCの主な目的は、防衛契約業界内で頻繁に共有される2つの機密データの保護です。
● 連邦契約情報(FCI: Federal contract information):連邦調達規則(FAR: Federal Acquisition Regulation)の4.1901節に定義されるFCIは、政府から提供される、または契約を通じて政府向けに開発・提供される製品やサービスに関連する情報を指します。このデータは一般に公開されることを意図しておらず、支払い処理データなどの公開可能な情報や取引情報は通常含まれません。
● 管理対象非機密情報(CUI: Controlled unclassified information):タイトル32 CFR 2002.4(h)に定義されるCUIは、法律、規制、または政府の方針に基づいて保護や拡散の管理が必要とされる情報を指します。米国国防総省は、CUIのカテゴリおよびサブカテゴリの包括的なリストをCUIレジストリで管理しており、契約企業は具体的な指針を確認することができます。
サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの特徴
1. サイバーセキュリティ成熟度の階層モデル
CMMCのフレームワークは、3つの成熟度レベルからなる階層モデルを採用しています。各レベルは、段階的に高度なサイバーセキュリティ基準と管理策に対応しており、レベル別に求められる要件が変わってきます。以下はレベルごとの要件をまとめた表です(2024年10月公開のCMMCプログラムを基に記載)。
| LEVEL1 | 要件難易度 | 基礎的(Foundational) |
|---|---|---|
| 対象情報 | 連邦契約情報(FCI)の保護が主な目的 | |
| 要件 | 連邦調達規則(FAR)52.204-21に基づく15項目の基本的なサイバーセキュリティ対策を実施 | |
| 評価方法 | 自己評価が許可される | |
| 特徴 | 最低限のサイバーセキュリティ基準を満たす 文書化されたプロセスは不要で、実践の実行に重点を置く |
|
| LEVEL2 | 要件難易度 | 中級(Advanced) |
| 対象情報 | 管理された未分類情報(CUI)の保護が主な目的 | |
| 要件 | NIST SP 800-171 Rev.2に基づく110項目の要件を実施 CUIの種類や重要性に応じて、第三者評価または自己評価が必要 |
|
| 評価方法 | 一部のケースでは自己評価が許可されるが、多くの場合は第三者機関による認証が求められる | |
| 特徴 | サイバーセキュリティポリシーを確立し、それを文書化する セキュリティ対策の管理および文書化能力を強化する移行段階 |
|
| LEVEL3 | 要件難易度 | 上級(Expert) |
| 対象情報 | 高度に優先されるCUIや国家安全保障に関連する情報の保護が目的 | |
| 要件 | NIST SP 800-172に基づく24項目の追加要件を実施 | |
| 評価方法 | 特定分野では政府関係者による評価が必要 | |
| 特徴 | APT(標的型攻撃)など高度な脅威に対応可能な能力を備える サイバーセキュリティ活動を継続的にレビューし、適応させる能力が求められる |
表:CMMCにおける成熟度レベルごとの要件
2. 米国国防総省(DoD)契約への統合
CMMCは単なる任意の認証ではなく、契約上の必須要件です。機密情報を扱う契約を希望する企業は、CMMCのレベルを取得しなければならず、契約を獲得した後も適用基準を維持し続ける必要があります。基準を満たさない場合、契約の継続が困難になり、制裁措置を受ける可能性もあります。
イギリスの国家サイバーセキュリティセンター(NCSC: UK's National Cyber Security Centre)が策定したサイバーエッセンシャルズ(Cyber Essentials)プログラムは、組織が一般的なサイバー脅威から自らを守ることを目的とした制度です。2014年6月5日の開始以来、この制度は進化を続け、中小企業を含む多くの企業が限られたリソースの中で効果的なセキュリティ対策を講じられるよう支援しています。
サイバーエッセンシャルズは、政府が支援する認証制度であり、組織の基本的なサイバーセキュリティ対策を強化することを目的としています。このフレームワークでは、インターネットを経由した脅威から企業を保護するための基本的なセキュリティ対策が定められており、フィッシング、マルウェア、不正アクセスなどの一般的な攻撃に対するリスクを軽減することができます。
この制度は、基本的なセキュリティ対策を導入することの重要性を強調し、組織が脆弱性を減らし、機密情報を保護できるよう支援します。認証を取得することで、企業は防御力を強化し、クライアント、パートナー、規制当局に対してサイバーセキュリティへの取り組みを示すことができます。
認証レベル
サイバーエッセンシャルズは、組織のニーズやサイバーセキュリティの成熟度に応じて、2つの認証レベルを提供しています。
1. サイバーエッセンシャルズ(Cyber Essentials)(自己評価: Self-Assessment):企業が定められた基準に基づいて自社のセキュリティ対策を自己評価する方式です。外部の審査はなく、サイバーセキュリティの入門レベルとして適しています。
2. サイバーエッセンシャルズプラス(Cyber Essentials Plus)(外部審査: Independent Assessment):認定監査人が組織の対策を検証し、サイバーエッセンシャルズの基準が適切に実施されているかを評価します。実際にセキュリティシステムのテストが行われるため、より高度な認証です。
これらの認証は、企業が体系的かつ段階的にサイバーセキュリティを強化できるよう設計されています。
サイバーエッセンシャルズ(Cyber Essentials)の技術的要件
認証を取得するためには、組織は一般的なサイバー脅威に対抗するための5つの主要なセキュリティ対策を実施する必要があります。
1. ファイアウォールとインターネットゲートウェイ(Firewalls and Internet Gateways):内部ネットワークとインターネットの間に安全な境界を確立し、不正なトラフィックをブロックする。
2. 安全な設定(Secure Configuration):デバイスやソフトウェアについてセキュリティを考慮した設定で構成し、初期設定のままにすることで生じる脆弱性を最小限に抑える。
3. アクセス制御(Access Control):業務に応じたアクセス制限を実施し、不正アクセスやアカウント乗っ取りによる被害を抑える。
4. マルウェア対策(Malware Protection):ウイルス対策ソフトなどのセキュリティツールを導入し、マルウェアを検出・無効化する。
5. ソフトウェアの更新(Software Updates):セキュリティパッチやアップデートを迅速に適用し、既知の脆弱性を悪用されるリスクを減らす。
これらの対策は、サイバーエッセンシャルズの基盤となるものであり、多くの低レベルのサイバー攻撃から組織を守ることができます。
サイバースコア法(Cyber-Score Law)は、2023年10月1日にフランスで施行され、デジタル事業者に対し、自社サービスのセキュリティレベルをユーザに公開することを義務付けました。この法律は、サイバーセキュリティに関する透明性を高め、消費者の権利を強化し、デジタルプラットフォームへの信頼性を向上させる重要な一歩となっています。
サイバースコア法(Cyber-Score Law)の主な特徴
1. 情報提供の義務
この法律により、デジタル事業者は消費者に対し、データとサービスのセキュリティレベルを明確に知らせる義務を負います。一般データ保護規則(GDPR: General Data Protection Regulation)がデータ保護とプライバシーに重点を置いているのに対し、サイバースコア法(Cyber-Score Law)はさらに踏み込んで、サイバーセキュリティ対策の明示的な開示を求めています。これにより、ユーザは利用するプラットフォームがどの程度データを保護し、サイバーリスクを軽減しているのかを把握できるようになります。
2. 義務化されたサイバーセキュリティ監査
一定のアクセス数を超えるデジタルプラットフォームは、認定されたサービス提供者による定期的なサイバーセキュリティ監査を受ける必要があります。当初は、月間2,500万人以上の訪問者を持つプラットフォームが対象となり、2025年以降に1,500万人以上へと基準が引き下げられる予定です。監査では、以下の主要分野が評価されます。
• データのセキュリティおよび保護対策
• ガバナンスおよびリスク管理の体制
• サイバーインシデントへの対応策
この監査制度により、利用者が多いプラットフォームが強固なサイバーセキュリティ基準を遵守し、機密情報を適切に保護する責任を果たしているかどうかが確認されます。
3. サイバースコア評価システム
監査結果は、「Nutri-Score(食品の栄養評価)」のような評価システムを用いて公開されます。プラットフォームにはA+からFまでのサイバースコアが付与され、ユーザが一目でセキュリティレベルを判断できるようになります。A+は優れたセキュリティ対策を示し、Fは重大な欠陥があることを意味します。
この透明性の高い評価システムにより、ユーザはより安全なプラットフォームを選択できるようになり、企業側もサイバーセキュリティの強化を促されることになります。
フランスのこの取り組みは、消費者意識の向上と透明性の確保を重視しており、同様の制度を導入しようとする他国にとっての参考モデルとなるかもしれません。また、欧州の標準に沿った施策であるため、統一された強固なサイバーセキュリティフレームワークの構築にも貢献すると考えられます。
エッセンシャルエイト成熟度モデル(Essential Eight Maturity Model)は、オーストラリアサイバーセキュリティセンター(ACSC: Australian Cyber Security Centre)が開発したサイバーセキュリティのフレームワークです。このモデルは、サイバー脅威を軽減するために、組織が実践できる実用的でスケーラブルなアプローチを提供します。2017年6月に導入され、システムやデータの保護を目的としています。
エッセンシャルエイト(Essential Eight)は、一般的な攻撃手法に対処するための8つのセキュリティ対策で構成されており、オーストラリアの国家的なサイバーセキュリティ対策の重要な一環となっています。
1. アプリケーションのホワイトリスト化:許可されたアプリケーションのみを実行できるようにすることで、未承認または悪意のあるソフトウェアの実行を防ぎます。
2. アプリケーションの修正プログラム(パッチ)適用:ソフトウェアを定期的に更新することで、既知の脆弱性を修正し、攻撃者が侵入する可能性を最小限に抑えます。
3. オペレーティングシステム(OS)の修正プログラム適用:OSを最新の状態に保つことで、脆弱性を突いた攻撃のリスクを軽減します。
4. Microsoft Office マクロ設定の制限:マルウェアがマクロを悪用するリスクを低減します。
5. ユーザアプリケーションハード二ング:アプリケーション設定を強化し、不必要な機能を無効化します。
6. 管理者権限の制限:必要最小限の権限のみ付与し、不正アクセスリスクを低減します。
7. 多要素認証(MFA: Multi-Factor Authentication):パスワードに加え、追加の認証要素を導入することで、不正アクセスのリスクを軽減します。
8. 定期バックアップの実施:データの定期的なバックアップを行うことで、セキュリティ侵害やシステム障害が発生した場合でも迅速に復旧できるようにします。
これらの対策は、予防・検知・対応の観点から、サイバー犯罪者が頻繁に悪用するリスクを抑えることを目的としています。
成熟度レベル
エッセンシャルエイト成熟度モデル(Essential Eight Maturity Model)では、組織のサイバーセキュリティ対策の成熟度を4つのレベルに分類し、脅威への対応力を示します。
● 成熟度レベル0:重大なセキュリティの脆弱性を抱えており、サイバー攻撃に対して極めて脆弱な状態です。
● 成熟度レベル1:基本的なセキュリティ対策を導入している段階で、主に一般的かつ偶発的な脅威への対応を目的としています。
● 成熟度レベル2:レベル1より高度でターゲット絞った攻撃を想定し、アクセス制御やパッチ適用を強化することで防御を強化します。
● 成熟度レベル3:Essential Eightのすべての対策を効果的に実装し、レベル2より高度で攻撃に長期時間を費やすことが可能な標的型攻撃(APT)にも対応できる、最も成熟したセキュリティレベルです。
成熟度レベル0から3への段階的な向上により、組織はセキュリティ体制を強化しながら、業務の運用ニーズとのバランスを保つことができます。
サイバーセキュリティ評価システムの共通点と違い
アメリカのサイバーセキュリティ成熟度モデル認証(CMMC: Cybersecurity Maturity Model Certification)、イギリスのサイバーエッセンシャルズ(Cyber Essentials)、フランスのサイバースコア法(Cyber-Score Law)、オーストラリアのエッセンシャルエイト成熟度モデル(Essential Eight Maturity Model)は、それぞれの地域や業界に合わせた主要なサイバーセキュリティ評価システムです。これらのシステムは、サイバーセキュリティの強化を目的としており、共通する原則を持ちながらも、その実施方法や適用範囲、評価手法には違いがあります。
各評価システムの共通点
段階的な成熟度モデル
これらのシステムはすべて、組織のサイバーセキュリティの成熟度を段階的に高めるための体系的な構造を持っています。エッセンシャルエイト成熟度モデル(Essential Eight Maturity Model)はレベル0から3までの段階があり、サイバーセキュリティ成熟度モデル認証(CMMC: Cybersecurity Maturity Model Certification)は改訂版でレベル1から3の構造になっています。組織は、それぞれのレベルに定められた基準を満たすことで、サイバーセキュリティ能力を向上させます。
サイバーエッセンシャルズ(Cyber Essentials)のプログラムも、基本的な自己評価によるサイバーエッセンシャルズ(Cyber Essentials)から、監査を受けて認証を得るサイバーエッセンシャルズプラス(Cyber Essentials Plus)へと進む仕組みです。サイバースコア法(Cyber-Score Law)は、A+からFまでの評価を与えることで、ユーザがデジタルサービスのセキュリティ状況をすぐに把握できるようになっています。これらのシステムはすべて、継続的な改善を促しながら、組織のセキュリティ強化を支援する役割を果たしています。
一般的なサイバー脅威への対策
いずれのシステムも、ランサムウェア、フィッシング、不正アクセス、ソフトウェアの脆弱性といった、広く見られるサイバー脅威への対策を重視しています。
エッセンシャルエイト(Essential Eight)は、これらの脅威を防ぐためにコア戦略を実装することを推奨しています。サイバーセキュリティ成熟度モデル認証(CMMC: Cybersecurity Maturity Model Certification)は、米国国防総省(DoD: U.S. Department of Defense)の機密情報を扱う企業が特定の基準を満たすことを求めています。サイバーエッセンシャルズ(Cyber Essentials)は、ファイアウォールやアクセス管理、マルウェア対策などの基本的なセキュリティ対策に重点を置いています。また、サイバースコア法(Cyber-Score Law)は、プラットフォームが消費者データを保護するためにセキュリティリスクを評価することを義務付けています。
監査やコンプライアンスの推奨・義務化
これらのシステムでは、コンプライアンスと定期的な監査が重要な要素となっています。サイバーセキュリティ成熟度モデル認証(CMMC)は、国防関連の契約を獲得するために、組織が監査をクリアすることを義務付けています。
同様に、サイバースコア法(Cyber-Score Law)では、トラフィックの多いデジタルプラットフォームに対し、毎年のサイバーセキュリティ監査を義務付けています。サイバーエッセンシャルズプラス(Cyber Essentials Plus)は、外部監査によってセキュリティ対策の検証が求められます。エッセンシャルエイト(Essential Eight)は、公式な外部監査は義務付けられていませんが、企業が内部評価を実施することを推奨しています。
継続的な改善の推進
これらのシステムには、定期的なフィードバックや再評価の仕組みが組み込まれており、組織がサイバーセキュリティ対策を維持・向上できるようになっています。エッセンシャルエイト(Essential Eight)は、企業が独自に戦略を導入しながら、段階的に成熟度を高めていくことを可能にしています。サイバーセキュリティ成熟度モデル認証(CMMC)では、定期的な再認証が求められます。サイバーエッセンシャルズ(Cyber Essentials)やサイバースコア法(Cyber-Score Law)でも、組織がセキュリティの欠点を修正し、より高いレベルの安全性を確保できるよう支援する仕組みが整えられています。
各評価システムの違い
目的と適用範囲
各システムは、異なる規制環境や対象業界に合わせて設計されています。サイバーセキュリティ成熟度モデル認証(CMMC: Cybersecurity Maturity Model Certification)は、防衛産業基盤(DIB: Defense Industrial Base)の機密情報を保護することを目的としており、防衛関連の契約企業に特化しています。一方、サイバーエッセンシャルズ(Cyber Essentials)やサイバースコア法(Cyber-Score Law)は、一般企業を対象としており、サイバーエッセンシャルズ(Cyber Essentials)は中小企業向け、サイバースコア法(Cyber-Score Law)は大規模なデジタルプラットフォームの消費者向け透明性の確保を目的としています。エッセンシャルエイト(Essential Eight)は、オーストラリア国内の幅広い業界に適用される国家レベルのフレームワークです。
評価手法の違い
各システムでは、異なる評価手法を採用しています。サイバーセキュリティ成熟度モデル認証(CMMC: Cybersecurity Maturity Model Certification)は、外部の監査機関による認証が必要です。サイバーエッセンシャルズプラス(Cyber Essentials Plus)も外部監査を要しますが、基本的なサイバーエッセンシャルズ(Cyber Essentials)は自己評価方式です。エッセンシャルエイト(Essential Eight)は主に自己評価や内部レビューに依存しています。一方、サイバースコア法(Cyber-Score Law)では、認定された第三者機関による年次監査が義務付けられています。
評価基準の違い:成熟度モデルとスコアリング
エッセンシャルエイト(Essential Eight)とサイバーセキュリティ成熟度モデル認証(CMMC: Cybersecurity Maturity Model Certification)は、組織が特定の基準を満たすことで、より高いレベルのサイバーセキュリティを実現できる「成熟度モデル」を採用しています。これに対し、サイバースコア法(Cyber-Score Law)はA+からFまでのスコア制を採用し、食品の栄養評価システム「Nutri-Score」のように、消費者が一目でセキュリティレベルを理解できるようになっています。サイバーエッセンシャルズ(Cyber Essentials)は、基本認証(自己評価)と高度認証(監査済み)の2段階構成になっています。
特定のコンプライアンス要件
各システムには独自のコンプライアンス要件があります。サイバーセキュリティ成熟度モデル認証(CMMC: Cybersecurity Maturity Model Certification)は、契約業者が管理された非分類情報や連邦契約情報を適切に取り扱うための厳格なガイドラインを定めています。サイバースコア法(Cyber-Score Law)は透明性と消費者保護を重視し、プラットフォームがユーザに対してサイバーセキュリティ評価を表示することを義務付けています。サイバーエッセンシャルズ(Cyber Essentials)は、インターネットを介した一般的な脅威から組織を保護することを目的としておりエッセンシャルエイト(Essential Eight)は、さまざまな業界におけるサイバーレジリエンスの強化を目指しています。
これらの違いはあるものの、エッセンシャルエイト成熟度モデル(Essential Eight Maturity Model)(オーストラリア)、サイバーエッセンシャルズ(Cyber Essentials)(イギリス)、サイバースコア法(Cyber-Score Law)(フランス)、サイバーセキュリティ成熟度モデル認証(CMMC)(アメリカ)は、いずれも構造化された測定可能なアプローチを通じてサイバーセキュリティを強化するという共通の目的を持っています。これらの違いは、各地域のニーズや規制の優先事項を反映していますが、同時に、段階的なセキュリティの実装、継続的な改善、そしてコンプライアンスの重要性を示しています。組織は、これらの制度から学び、自社のセキュリティ対策を適切に調整することで、現代のサイバー脅威に対する十分な保護を確保することができます。
日本のセキュリティ評価制度への備え
日本のサイバーセキュリティに対する取り組みは、企業や重要インフラ、デジタルサービスに対するセキュリティ強化の優先度を高めていることを反映しています。
オーストラリア、イギリス、アメリカ、フランスなどの国々では、エッセンシャルエイト成熟度モデル(Essential Eight Maturity Model)(オーストラリア)、サイバーエッセンシャルズ(Cyber Essentials)(イギリス)、サイバーセキュリティ成熟度モデル認証(CMMC: Cybersecurity Maturity Model Certification)(アメリカ)、サイバースコア法(Cyber-Score Law)(フランス)といった構造化された評価フレームワークが導入されています。日本においても、今後導入が予想されるセキュリティ評価制度では、こうした国際的なフレームワークの特徴である「段階的な改善」「透明性」「リスク軽減」といった原則が取り入れられることが期待されます。
日本のサイバーセキュリティ制度への対応を進めるために、これらの既存の評価制度から学び、早期に備えることが重要です。以下では、各国のセキュリティ評価モデルに共通する点や独自の特徴を踏まえながら、準備のための具体的な方法を解説します。
自己評価を通じた基盤の確立
世界のセキュリティフレームワークに共通する重要な要素のひとつに、自社のセキュリティ状況を正しく把握するための自己評価(Self-assessment)があります。例えば、イギリスのサイバーエッセンシャルズ(Cyber Essentials)プログラムでは、まず企業が自己評価による認証を取得し、その後、外部監査を伴うサイバーエッセンシャルズプラス(Cyber Essentials Plus)に進む仕組みが採用されています。また、オーストラリアのエッセンシャルエイト成熟度モデル(Essential Eight Maturity Model)では、組織がセキュリティ対策を成熟度レベル(0〜3)で評価することを推奨しています。
日本で新たなセキュリティ評価制度が導入された際にスムーズに対応できるよう、企業は事前に自己評価を実施し、セキュリティ対策のギャップを特定することが重要です。特に、アプリケーション制御、パッチ管理、アクセス制御、データ保護といった主要領域の見直しを行い、既存の自己評価モデルに沿った内部評価プロセスを確立することで、将来のコンプライアンス対応に向けた強固な基盤を築くことができます。
基本的なセキュリティ対策の実施に注力する
ほとんどのサイバーセキュリティ評価制度では、一般的な脅威を軽減するための基本的なセキュリティ対策が優先されています。例えば、オーストラリアのエッセンシャルエイト(Essential Eight)やイギリスのサイバーエッセンシャルズ(Cyber Essentials)では、以下のようなセキュリティ管理策に重点を置いています。
● アプリケーションおよびオペレーティングシステムの修正プログラム適用
● 定期的なデータバックアップ
アメリカのサイバーセキュリティ成熟度モデル認証(CMMC: Cybersecurity Maturity Model Certification)でも、これらの基本的なセキュリティ対策が含まれていますが、特に防衛関連の機密情報(CUI:Controlled Unclassified Information)を扱う契約業者向けにカスタマイズされている点が特徴です。日本においても、新たなセキュリティ評価制度が導入される場合、これらの普遍的なセキュリティ対策を優先的に実施することが重要です。ランサムウェア、フィッシング、不正アクセスといった共通の脅威に対処するため、基本的なセキュリティ管理策を強化しておくことが、評価基準への適応につながるでしょう。
成熟度レベルや評価基準の理解を深める
日本のセキュリティ評価制度は、世界の制度と同様に段階的な評価モデルを採用する可能性があります。企業は、自社の成熟度レベルを把握し、改善のための具体的なアクションを特定することが重要です。例えば、パッチ適用のサイクルを短縮する、リモートアクセスをより安全に管理する、バックアップと復旧計画を強化するといった対策が求められます。日本の制度がどのような成熟度モデルや評価基準を採用するかを理解し、現実的な目標を設定しながら進捗を管理することで、よりスムーズな適応が可能になります。
外部監査への対応を準備する
世界のサイバーセキュリティ制度では、多くの場合、外部監査や第三者による検証が求められます。例えば、以下のような仕組みが導入されています。
● サイバーセキュリティ成熟度モデル認証(CMMC: Cybersecurity Maturity Model Certification)(アメリカ)では、防衛関連の契約業者が認定された第三者評価機関による審査を受ける必要があります。
● サイバーエッセンシャルズプラス(Cyber Essentials Plus)(イギリス)では、最初の自己評価の後に、実際の監査を伴う審査が行われます。
● サイバースコア法(Cyber-Score Law)(フランス)では、一定のトラフィックを超えるデジタルプラットフォームに対し、認定機関による年次監査を義務付けています。
日本のセキュリティ評価制度でも、これらと同様に外部監査の要件が導入される可能性があります。企業は、適切な文書管理、監査ログの維持、明確な是正プロセスの策定を進めておくことが重要です。また、正式な審査の前に第三者のセキュリティアドバイザーと連携し、事前評価を受けることで脆弱性を特定し、対策を強化することが有効です。
透明性の確保と消費者の信頼を優先する
フランスのサイバースコア法(Cyber-Score Law)は、消費者の信頼を高めることを重視し、デジタルプラットフォームに対してサイバーセキュリティ評価の公表を義務付けています。日本の制度においても、同様のアプローチが採用される可能性があり、デジタルサービスを提供する企業には、セキュリティ対策の透明性を確保することが求められるかもしれません。
そのため、企業はウェブサイトや報告書などで主要なセキュリティ対策を公開し、顧客データ保護の取り組みを明確に示すことを検討するとよいでしょう。また、サイバーセキュリティに関する透明性の高い情報発信は、消費者だけでなく、投資家や規制当局との信頼関係の構築にも役立ちます。
インシデント対応と復旧計画の強化
インシデント対応と復旧計画は、多くのセキュリティ評価制度において重要な要素となっています。例えば、オーストラリアのエッセンシャルエイト(Essential Eight)では定期的なデータバックアップを推奨しており、サイバーセキュリティ成熟度モデル認証(CMMC)ではインシデント発生時の業務継続を重視しています。日本のセキュリティ評価制度に備えるため、企業は以下のような強固なインシデント対応計画を整備することが求められます。
● バックアップの復元テストの定期実施
● リアルタイムの脅威監視システムの導入
● 対応チームの役割と責任の明確化
また、自動化されたバックアップソリューションへの投資や、定期的な復旧訓練を行うことで、企業のレジリエンスを高め、将来のセキュリティ評価基準への適応をスムーズに進めることができます。
監修
石原 陽平
トレンドマイクロ株式会社
セキュリティエバンジェリスト
CISSP。犯罪学学士。経済安全保障コーディネーター。世界各地のリサーチャーと連携し、サイバー犯罪の研究と情報発信を担う。また、サイバー空間における脅威概況や特定専門領域(産業制御システム/IoT/5Gなど)のセキュリティ調査/発信も担当。日本の組織の経営・役員に向けた講習、サイバーセキュリティの国際会議での講演などを通じ、ビジネスとデジタル技術の関係性や、サイバー事故の犯罪学的/地政学的考察に基づく、サイバーリスク対策の啓発を行う。
講演実績:Gartner IT SYMPOSIUM/Xpo™ 2023、SANS ICS Summit 2022、CYBER INITIATIVE TOKYO(サイバーイニシアチブ東京)2022、デジタル立国ジャパン・フォーラム 2022、制御システムセキュリティカンファレンス 2021・2022など
<参考文献>
・サプライチェーン強化に向けたセキュリティ対策評価制度 の構築について(情報処理推進機構 セキュリティセンター)
・サプライチェーン対策評価制度の基本構想(案)について(商務情報政策局サイバーセキュリティ課)
・Cheong, T. (2025). Navigating Japan METI’s upcoming cybersecurity rating system: Strategies for businesses to enhance cyber defense. Bitsight.
・Ministry of Economy, Trade and Industry. (2019). Cybersecurity / METI .
・サイバーセキュリティの成熟度モデル認定(CMMC)を読み解く (後編) ~CMMC2.0とは~(ニュートン・コンサルティング)
・Essential Eight Maturity Model (Australian Signals Directorate, 2017).
・About Cyber Essentials. (National Cyber Security Centre, 2023)
・The “cyber-score” law comes into force: what are the new obligations for platform operators? (Joffe & Associés. Poitou, V., 2023, October 5).
・About CMMC (U.S. Department of Defense. (n.d.).
<関連記事>
・防衛省のサイバーセキュリティ調達基準の元となったNIST SP 800-171とは?~日本企業が取り組むべき対策を解説~
・自工会(JAMA)・部工会(JAPIA)のサイバーセキュリティガイドラインの要点は?
・金融庁サイバーセキュリティガイドラインの要点は?~175項目はどのような項目か?
・新たに「ガバナンス」が追加されたNIST Cybersecurity Framework 2.0の変更点を解説
・セキュリティ関連のコンプライアンス基準・ガイドラインを解説~ISO、HIPPA、NIST CSF~
