経済産業省 「産業サイバーセキュリティ研究会」から「産業界へのメッセージ」

こんにちは、丸山満彦です。

2022.04.11に第7回「産業サイバーセキュリティ研究会」が開催され、「産業界へのメッセージ」が発出されていますね。。。

さらっと、本気でやろうとすると大変な項目がありますが、まぁ、昨今のサイバー空間の状況を考えると、必要な話という感じですよね。。。

① サイバーセキュリティ対策を徹底し、持続可能な体制を確立する
② 感染が確認された場合には、適時、報告・相談・対応を行う
③ 中小企業においては「サイバーセキュリティお助け隊サービス」などの支援パッケージを活用する
④ ITサービス等提供事業者は、製品・サービスのセキュリティ対策に責任を持つ

 

● 経済産業省

・2022.04.11 第7回「産業サイバーセキュリティ研究会」を開催し、「産業界へのメッセージ」を発出しました

---

「産業界へのメッセージ」

昨今、ランサムウェアやEmotet（エモテット）と呼ばれるマルウェアを用いた攻撃をはじめ、サイバー攻撃による被害が増加傾向であることを踏まえ、改めて各企業・団体等に、組織幹部のリーダーシップの下、サイバーセキュリティ対策に取り組んでいただくよう、産業サイバーセキュリティ研究会から「産業界へのメッセージ」を発出しました。

① サイバーセキュリティ対策を徹底し、持続可能な体制を確立する

• 保有する情報資産を漏れなく把握する。
• 不審なメールへの警戒や、機器等に対して最新のセキュリティパッチを当てる等、脆弱性対策を徹底する。
• 多要素認証等により認証を強化する。
• データ滅失に備えデータのバックアップを取得し、ネットワークから切り離された場所に保管する。
• サイバー攻撃を受けた際の対応について、普段から役員および職員に対して教育・訓練を行う。
• システムが停止した場合に、業務を止めないための計画（BCP）を策定し、代替手段を整備する。

② 感染が確認された場合には、適時、報告・相談・対応を行う

• 感染拡大防止に留意するとともに、専門機関やセキュリティベンダー等へ支援を依頼しつつ、早期の業務復旧を図る。
• サイバー攻撃者への金銭の支払いは厳に慎む。
• Emotetの場合、取引関係者間などで感染が拡大することから、取引先を含めた関係者に状況を共有する。
• 警察、所管省庁等への相談・報告・届出を実施する。報告義務のある事案については、正確かつ迅速に行う。

③ 中小企業においては「サイバーセキュリティお助け隊サービス」などの支援パッケージを活用する

• 自社がサイバー攻撃による被害を受けた場合、その影響は、サプライチェーン全体の事業活動や経済全体に及ぶ可能性があることを踏まえ、「サイバーセキュリティお助け隊サービス」の活用など積極的なサイバーセキュリティ対策に取り組む。

④ ITサービス等提供事業者は、製品・サービスのセキュリティ対策に責任を持つ

---

 

本気でやろうとすると大変な項目（でも、昨今の状況を考えると必要だろうと思います）と思ったのは、

1. 保有する情報資産を漏れなく把握する。
2. 機器等に対して最新のセキュリティパッチを当てる等、脆弱性対策を徹底する。
3. データ滅失に備えデータのバックアップを取得し、ネットワークから切り離された場所に保管する。
4. システムが停止した場合に、業務を止めないための計画（BCP）を策定し、代替手段を整備する。

 

IPAの調査では中小企業のサイバーセキュリティ対策はこの5年間で特に進んでいないと公表していますね。。。

中小企業に対するセキュリティ対策については、日本だけでなく、世界中で悩んでいるように思います。そんな中、「サイバーセキュリティお助け隊サービス」といったアイデアは他の国にも参考になる施策ではないかと思います。。。

まずは、安心できるサービスから始まって、中小企業側も知識がついてくれば、より自社にあったサービスを選んでいけるようになるのではないかと思うんですよね。。。そして、事業者側も中小企業のニーズが理解できるようになると思うんですよね。。。もちろん、クラウド化が進むことにより、企業側で気にしなければならないセキュリティというのは減ってくるのだろうとは思うのですが、それでもインフラはクラウド事業者に行ったとしても、自社データの保護は自らが行わなければならないわけで、、、特に事故があった場合の対応において、このサービスは良いのではないかと思っています。。。

 

● IPA

・2022.03.31 プレス発表「2021年度中小企業における情報セキュリティ対策の実態調査報告書」を公開 ～5年間で情報セキュリティ対策の実施状況の改善はわずか～

　・[PDF] プレスリリース全文

 

・2022.03.31 「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について

 ・[PDF] 調査報告書

 ・[PDF] 概要説明資料

 

・サイバーセキュリティお助け隊サービス制度

● 経済産業省 - 産業サイバーセキュリティ研究会

こちらが完全版です。。。

・2022.04.11 [PDF] サイバーセキュリティ対策についての産業界へのメッセージ

・2022.04.11 第7回 産業サイバーセキュリティ研究会

• [PDF] 資料1　議事次第・配布資料一覧
• [PDF] 資料2　委員等名簿
  
  
• [PDF] 資料3　事務局説明資料

• [PDF] 資料4　サイバーセキュリティ対策についての産業界へのメッセージ（案）

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.02 IPA 2021年度中小企業における情報セキュリティ対策の実態調査報告書

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.08.18 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版（V1.0版）

・2021.04.27 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」（第1.1版）

・2021.04.20 経済産業省 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き

・2021.02.24 経済産業省 小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0を策定

・2020.11.09 経済産業省が「IoTセキュリティ・セーフティ・フレームワーク（IoT-SSF）」を策定しましたね。。。

・2020.10.31 IPA サプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）が設立されますね。。。

・2020.09.30 経済産業省からサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開されていますね。。。

・2020.07.01 経済産業省 第5回 産業サイバーセキュリティ研究会

・2020.04.01 経済産業省 パブコメ 「IoTセキュリティ・セーフティ・フレームワーク（案）]