サイバーセキュリティのガイドラインとの向き合い方
近年、サイバーセキュリティに関するガイドラインが次々と発行されています。 これらガイドラインに対して、法人組織はどのように対応していくべきなのでしょうか?
発行者 | ガイドライン(フレームワークや手引き等も含む) |
---|---|
内閣サイバーセキュリティセンター | 重要インフラのサイバーセキュリティに係る行動計画 |
経済産業省 | サイバーセキュリティ経営ガイドライン |
サイバー・フィジカル・セキュリティ対策フレームワーク | |
IoTセキュリティ・セーフティ・フレームワーク | |
機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き | |
制御システムのセキュリティリスク分析ガイド | |
制御システムセーフティ・セキュリティ要件定義ガイド | |
工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン | |
厚生労働省 | 医療情報システムの安全管理に関するガイドライン |
総務省 | テレワークセキュリティガイドライン |
文部科学省 | 教育情報セキュリティポリシーに関するガイドライン |
政府、省庁が発行しているガイドラインの例
発行者 | ガイドライン(フレームワークや手引き等も含む) |
---|---|
一般社団法人 日本電気協会 | 電力制御システムセキュリティガイドライン |
スマートメータシステムセキュリティガイドライン | |
一般社団法人 日本自動車工業会 一般社団法人 日本自動車部品工業会 |
自工会/部工会・サイバーセキュリティガイドライン |
一般社団法人重要生活機器連携セキュリティ協議会 | CCDS製品分野別セキュリティガイドライン車載器編 |
CCDS製品分野別セキュリティガイドラインスマートホーム編 | |
IoT機器セキュリティ要件ガイドライン | |
IoT機器セキュリティ要件対策方針チェックリスト | |
CCDS IoT機器セキュリティ実装ガイドライン(ソフトウェア更新機能) | |
IoT推進コンソーシアム | IoTセキュリティガイドライン |
業界団体が発行しているガイドラインの例
サイバーセキュリティのガイドラインは、それ自体が強制力を持っている訳ではないですが、一部のサプライチェーンではガイドラインを元に調達基準が形成されるなど、法人組織にとってサイバーセキュリティの「外部要件(組織外から求められるセキュリティに関する要件)」となります。サイバーセキュリティに関するガイドラインが近年立て続けに策定されている理由の1つがサプライチェーンセキュリティの重要性の高まりにあります。昨今、サプライチェーンの弱点を突いた組織間をまたがる攻撃が、法人組織のサイバーセキュリティの大きな課題になっています。例えば、セキュリティレベルの低いサプライヤーにサイバー攻撃が仕掛けられることで、結果として自組織の機密情報や顧客情報が他社から漏洩してしまうといった被害につながります。サプライチェーンを狙った攻撃は、自組織のセキュリティレベルが高くても、比較的セキュリティレベルが低い、その子会社や取引先を経由することで、自組織のネットワークへの侵入を可能にしてしまいます。つまり、サプライチェーン全体のセキュリティレベルを向上することが出来なければ、このような攻撃を防ぐことはできません。
そのため、サプライチェーン上の弱点となりがちな中小企業等におけるサイバーセキュリティ対策や、発注側企業の取引先に対するサイバーセキュリティ対策の支援や要請が必要になってきます。この支援や要請がガイドラインとなって表出化されているのです。また、業種や業態のビジネスの性質、求められるセキュリティレベル、想定されるリスクなども異なるため、統一することは難しく、それぞれのサプライチェーンで形成されているというのが現状です。その結果、ガイドラインが立て続けに策定されています。
ガイドラインとの向き合い方
では、ガイドラインに対応していくことだけで、組織のセキュリティ戦略は完成されていくのでしょうか。答えはNOです。確かにガイドラインは求められるセキュリティレベルを提示しますが、それが必ずしも自組織に適したものとはいえないからです。組織は、リスクを検討した上で、限られたリソースの中で最適なセキュリティの投資ができるようにしなければなりません。ガイドラインに対応していくことのみで、自社のセキュリティ対策を進めるという姿勢では、これらの外部要件に振り回され、本来あるべきリソースとセキュリティ投資のバランスが崩れてしまうことにもなってしまいます。では、ガイドラインだけを遵守することが優先されるとどのような状況に陥るのでしょうか。架空の企業を例示して説明します。
“多角的に事業を広げているA社では、自社のセキュリティレベル向上を目的に、自社が展開している各サービスに関連するガイドラインを全て達成することを決めた。A社が手掛ける「サービスX」は、経営戦略上、それほど重要ではないもののガイドラインが求めるセキュリティレベルを達成するために、セキュリティ機能を新たに導入することになった。このセキュリティ機能を導入するために、経営戦略上重要であるが関連しているガイドラインが策定されていない「サービスY」に充てていたセキュリティ投資の費用を回すことにした。その結果、「サービスY」は脅威を受ける可能性が高くなってしまった。“
ガイドラインに対するこのような対応姿勢は最善とは言い難いでしょう。もちろん、ガイドラインを遵守することは大切なのですが、その達成が優先されると、経営戦略に矛盾したセキュリティ投資の優先順位になりかねません。ガイドラインは企業ごとのビジネスの状況が汲み取られているわけでないので、自社のビジネスの状況に応じて対応方針を決めていくべきでしょう。
また、今後もガイドラインが増えていくことは想定されますが、このような状況において、組織に求められるのは、自社の経営戦略、事業戦略を踏まえたセキュリティのあるべき姿(セキュリティ・ビジョン)を明確にして、それをどのように実現できるかの道筋を示すセキュリティ戦略の構築です。また、戦略を具体化していく際には、脅威情報や脆弱性情報などの外部インテリジェンスとコーポレート・プロファイルやインシデント記録といった内部インテリジェンスを参考にしていくとよいでしょう。こうして構築されたセキュリティ戦略を様々な観点別に明確化・指標化したセキュリティ戦略目標を策定し、自組織が実施すべきセキュリティ機能を定義して、その機能が適切に運用・管理するためのPDCAを如何に実行するかを組織は考えていくべきです。これらセキュリティ戦略や各セキュリティ機能がサプライチェーンやマーケットの要求に見合うものになってるかどうかを確かめるために、リファレンスとして外部要件に対応していくという流れが望ましい状態となります。
取引先とWin-Winのセキュリティ要件を
現実的には取引先との関係性や信頼関係を築くことを優先するがあまりに、ガイドラインの対応に目が行きがちになってしまいます。次々と出てくるガイドラインに振り回されることにもなりかねません。ガイドラインや調達基準などは、トップダウンで決められることが多く、場合によってはサプライヤーの意向や事情が汲み取られておらず、自組織のセキュリティ戦略と適合しないことも起こりえます。
そのような場合には、取引先とのコミュニケーションによる相互理解が重要になってきます。お互いのビジネス環境やリスクプロファイルを共有しながら、双方の意向を理解して納得できるセキュリティ要件を共同で策定していくというプロセスを踏むことで、Win-Winのセキュリティ要件ができるはずです。ガイドラインだけに頼るのではなく、ケースバイケースでセキュリティ要件を決めていくことは、自社のセキュリティ戦略とガイドラインとのバランスを取る上で重要なアクションになります。
取引先とはどのようなコミュニケーションが必要になってくるでしょうか。双方の立場になって考えてみます。まず、自社側は限られたリソースを最適に活用して、適切なセキュリティ対策を行うことが求められます。一方、取引先側は自社からのサービスや製品の信頼性が高いことを求めています。つまり、自社側が十分なセキュリティ投資を行わなければ、取引先からの信頼を得ることができず、逆に取引先が自社のセキュリティ要件を厳格に求めすぎると、自社のリソースが不足してしまう可能性があります。この双方の事情を加味した上で、セキュリティ要件を共同で策定していくことが、双方にとってWin-Winとなります。
まとめ
ビジネスのデジタル化、サプライチェーン管理の複雑性、サイバー脅威の進化などが続く限り、サイバーセキュリティに関する規制は厳しくなり、ガイドラインは今後も新たに策定されていくことが想定されます。取引先との関係継続やサプライチェーンでのビジネスをし続けていくには、これらのガイドラインへの対応の検討は必須となります。ただし、ガイドラインに捉われ過ぎて、自社のリソースとセキュリティ投資のバランスがおざなりになってしまっては本末転倒です。企業の経営者は、これを十分理解した上で、外部要件への対応方針を決めていくべきでしょう。自社のビジネスを守り続けていくために、時には経営者自身が取引先や業界団体とのコミュニケーションを取りながら、自社、取引先、サプライチェーンのそれぞれにとって意義のあるセキュリティ要件を検討していくことも求められていきます。
参考リンク