連載第一回の記事でも書きましたが、ここ数年、サイバー攻撃は大企業だけの問題ではなくなりました。
むしろ、取引先や委託先といった「守りの薄い会社」を入口にして、親会社や元請け企業まで被害が広がる事故が増えています。
その結果、発注する側は『委託先がどこまで対策できているのか見えない』という悩みを抱えています。一方、受注する側、とくに中小企業は『取引先ごとに違う要求を出されて負担が重い』という課題があります。
そこで現在、経済産業省とIPA(独立行政法人情報処理推進機構)が進めているのが、「サプライチェーン強化に向けたセキュリティ対策評価制度」、いわゆるSCS評価制度です。
会社の安全対策を“見える化”する制度
この制度は、企業のセキュリティ対策を共通の基準で評価し、取引先にも分かる形にするものです。目的は、発注側と受注側のやりとりを楽にしながら、サプライチェーン全体の安全水準を底上げすることにあります。
今は、連載第二回の記事のように取引先からバラバラの基準のセキュリティチェックシートが送られてきて、その都度回答している会社も多いと思います。今後は、そうした場面で共通の基準として参照される機会が増えそうです。
対象になるのは、インターネット公開サーバ、パソコン、端末など、会社の業務を支えるIT基盤です。
特に中小企業は、人も予算も限られる中で対策を進めなければなりません。だからこそ、この制度は中小企業にこそメリットがあると思います。
まずは★3、必要に応じて★4
SCS評価制度では、企業は星の数で示される段階的な評価を受けます。中小企業がまず目指すべきなのは、一般的なサイバー脅威に対応する最低限の水準である★3です。
| ★3 | ★4 | |
|---|---|---|
| 想定される脅威 | ・広く認知された脆弱性等を悪用する一般的なサイバー攻撃 | ・供給停止等によりサプライチェーンに大きな影響をもたらす企業への攻撃 ・機密情報等、情報漏えいにより大きな影響をもたらす資産への攻撃 |
| 対策の基本的な考え方 | ・全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的な組織的対策とシステム防御策を中心に実施 | ・サプライチェーン企業等が標準的に目指すべきセキュリティ対策として、組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施(実地審査及び技術検証を含む評価によって対策実施状況の確認を行う) |
| 脅威に対する達成水準 (イメージ) | ・組織内の役割と責任が定義されている ・一般的なサイバー脅威への対処を念頭に、自社IT基盤への初期侵入、侵害拡大等への対策が講じられている ・インシデント発生時に、取引先を含む社内外関係各所への報告・共有に必要な最低限の手順が定義、実施されている | ・取引先のシステムやデータを含む内外への被害拡大や攻撃者による目的遂行のリスクを低減する対策が講じられている ・事業継続に向けた取組や取引先の対策状況の把握など、自社の位置づけに適合したサプライチェーン強靭化策が講じられている |
| 要求事項数 | 26件 | 43件 |
| 評価スキーム | 専門家確認付き自己評価 | 第三者評価 |
| 有効期間 | 1年 | 3年 |
| ベンチマーク (対象企業やリスクが同様であり、対策項目を検討する上で参考) | ・自工会・部工会ガイドLv1 ・Cyber Essentials ⇒★3で対処する脅威等に照らして精査し、対策事項を抽出 | ・自工会・部工会ガイドLv2~3(Lv3については一部の項目) ・分野別ガイドライン 等 ⇒★4で対処する脅威等に照らして精査し、対策事項を抽出 |
★3は、制度が指定するセキュリティ専門家の確認や助言を受けながら行う自己評価で、有効期間は1年です。
さらに上の★4は、実地審査や脆弱性診断など第三者評価が入り、有効期間は3年ですが毎年の自己評価提出が必要になります。
まず中小企業は★3を目標にすれば十分です。★4は、セキュリティをよりしっかり見せたい会社向け、と考えるとイメージしやすいです。
中小企業にとっての実利
★3や★4を取得した企業は、対外的な証明として活用しやすい形になる予定です。自社の安全対策を口頭で説明するだけでなく、『この基準を満たしています』と示せるのは、営業や取引先とのやり取りでかなり役立つはずです。
加えて、★3や★4の取得を支援する仕組みとして、『サイバーセキュリティお助け隊サービス』の活用や、専門家につながりやすくする仕組みも検討されています。
なお、この制度は現時点で義務ではありません。サプライチェーンに関わる企業が必ず★3を取らなければならない、というものではなく、あくまで任意の制度です。
もう一つ、社長にとって見逃せないのがお金の話です。
発注元から対策を求められた場合、そのために必要な費用を価格交渉に反映できるよう、ガイドラインや事例集の整備も進められています。
社長が今やるべきこと
まずやるべきなのは、自社のIT機器や情報資産を把握することです。誰がどのパソコンを使い、どこに重要なデータがあり、更新されていない機器がないかを確認するだけでも、対策の第一歩になります。
そのうえで、★3を意識して、セキュリティ担当者を決める、パスワード管理を見直す、インシデント時の対応手順を決める、といった基本を一つずつ整えてください。SCS評価制度は“IT担当者だけの話”ではありません。これからは社長が「取引先から選ばれ続けるための条件」として考える時代に入っています。
とはいえ、制度の話を聞いても、実際に何から始めればいいのか迷う方も多いはずです。セキュリティ対策って、何をしていいかよくわからない・不安だという方は、ゼロからはじめるセキュリティ連載をご参考にしてください。