« 個人情報保護委員会 第209回 個人情報保護委員会議案 尼崎市USBメモリ紛失事案の対応方針について | Main | 中国 国家サイバースペース管理局が「インターネット利用者アカウント情報管理規定」を公布 (2022.06.27) »

2022.07.16

経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

こんにちは、丸山満彦です。

経済産業省が、令和3年度に委託調査をしたものの報告書一覧がありますが、それが2022.07.14に更新されて、サイバーセキュリティ関連の報告書が公開されていましたので、紹介です。。。

どの課が、どの事業予算で委託し、どの事業者が受託したかがわかります。金額も合わせて一表でわかると良いのにね。。。

 

経済産業省1_20220705055701

・[PDF] 令和3年度 委託調査報告書 HP掲載一覧

20220716-70750

 

2022.07.14公表分...

・2022.07.14 企業におけるサプライチェーンのサイバーセキュリティ対策に関する調査 調査報告書

20220716-70853


4.調査結果のまとめ 現状の課題

1 企業におけるリスク認識・対策

【リスク認識、攻撃被害の状況】
 企業は取引先等を経由したサイバー攻撃(Emotet、ランサムウェア、不正アクセス等)の被害影響のリスクを認識しており、実際に影響を受けているケースも多い
 業界・企業ごとにサプライチェーンの構造・特徴(商材、顧客、活動地域、利用するITサービス等)は異なり、特定・対処するリスクも様々
【取引先等への要請】
 多くの企業は、秘密保持、資産の取扱い、再委託の禁止等、自社で定める基準の適合を求めているが、推奨セキュリティ設定や、特定のサービス導入まで要求しているケースは少ない
 対策費用の負担、業種・規模・環境・意識レベル等の違い、自社と取引先等との関係性(力関係、取引への影響の懸念)から、サイバーセキュリティに関する要請を行いにくいと考える企業が多い
 取引先が多岐に渡り個別に対応する負荷が大きいため、各社への対応が十分に実施できない

2 企業における情報共有、攻撃被害の報告・公表

 取引先等がサイバー攻撃の被害を受けた際の報告・連絡手順、対応窓口が明確化されていない企業も多い
 IPAやJPCERT/CC等の公的機関から情報収取を実施する企業は多いが、専門家の活用や、情報収集コミュニティを通じた情報取得を実施する企業は一部に留まる
 サイバー攻撃の被害について、個人情報の流出や事業停止といった重大な影響が生じない場合、外部に公表しない企業が多い

3 国等の支援制度

 「中小企業の情報セキュリティ対策ガイドライン」の活用・認知は比較的進んでいる一方、「サイバーセキュリティお助け隊サービス」「SECURITY ACTION」は5割前後の認知に留まる
 補助金制度の拡大、強制力を伴う制度の導入、規模の小さい企業向けや特定のテーマに焦点化したガイドラインの提供等のニーズがある

4.調査結果のまとめ 優良事例・取組みの方向性

1 普及させるべき取組みの優良事例

【共通】
 取引先等の実態や調達するサービス・商材に応じたリスク評価と対策(自社基準、認証制度等の活用)
【仕入・外注・委託先等】
 業界団体・協議会等による、基準の策定やプラクティスの収集とその普及・啓発
 委託先等に提供する業務システム(プラットフォーム)を通じた情報提供、教育、アセスメント
 セキュリティ強化のための費用の一部負担
【グループ会社/海外拠点】
 グループポリシーの適用(海外拠点の場合等、実態に応じた適用)
 KPIの制定と経営層を含む定期的な会議体運営を通じたPDCA
 対策費用の一部負担、本社からの稼働提供によるサポート
 本社経営層主導での対策の強化

2 企業における情報共有の認識、今後の在り方

【情報収集・共有】
 IPA、JPCERT等の専門機関、業界団体・コミュニティ(ISAC等)を通じた情報収集・共有
 取引先等への情報共有の方針の検討
【攻撃被害の公表】
 平時における、攻撃被害の外部公表方針の検討、及びステークホルダーとの共有

3 企業、国、民間団体等が講ずべき措置の方向性

【企業等】
 業界団体・協議体等の働きかけによるベースラインの構築と定着
【国、自治体、関係機関等】
 補助金の拡充
 ガイドラインの提供
 相談・情報提供等の窓口の一元化


 

・2022.07.14 サイバーセキュリティ法制度の国際動向等に関する調査 報告書 

20220716-71018

別紙1が読み応えありますね。。。


1. はじめに
1.1 調査背景・目的
1.2 調査実施概要

2. サイバーセキュリティに関する諸外国の法制度や官民の取組等に関する調査
2.1 ランサムウェアに関する法制度や取組
 2021年4月以降のランサムウェア関連調査
 サイバーインシデントに関する報告
2.2 諸外国におけるサイバーセキュリティに関する取組
 諸外国における中小企業向けのガイドライン・ツール・認証制度等の比較
 諸外国における政府(国)のサイバー保険普及策の有無
 EU 諸国におけるソフトウェアのセキュリティ確保に向けた取組(SBOM 等)に関する調査

3. サプライチェーンを支える基盤インフラ技術に関する調査
3.1 基盤インフラ技術の最新動向
 基盤インフラ技術の全体像
 基盤インフラ実現に向けた政策動向
 基盤インフラを構成する基盤ソフトウェアの課題
3.2 基盤インフラ技術に関して求められる政策の検討
 有識者会合(持ち回り会合)の実施

4. 総括

別紙 1 現代のサイバーセキュリティの法的課題についての国際的な研究に関する調査


 

 

・2022.07.14 ビルシステムのサイバーセキュリティ高度化に向けた調査 報告書 

20220716-71146


1. はじめに
1.1 調査背景・目的
1.2 調査実施概要

2. ビルガイドラインの高度化のための調査
2.1 ビルの空調設備システムの対応策に関する調査
2.2 共通ガイドラインの拡充に向けた調査
 インシデントレスポンスに対する要求の整理
 現在のガイドラインへの追加情報の充実化
 ビルシステム及び関連するシステムへの攻撃事例の収集

3. ビルシステムのサイバーセキュリティ推進体制の調査
3.1 推進体制の情報提供・共有・相談等の機能の実践的評価
3.2 推進体制のあり方の調査

4. 検討会の運営
4.1 ビルSWGの運営
 第12回ビル SWG の運営
 第13回ビル SWG の運営
4.2 作業グループの運営
 小グループ検討会(空調編作業グループ)の実施
 小グループ検討会(インシデントレスポンス作業グループ)の実施
 小グループ検討会(情報共有・推進体制ディスカッション)の実施

5. 総括


 

 

・2022.07.14 サイバー・フィジカル・セキュリティ対策フレームワークの実装・推進に関する調査 調査報告書

20220716-71247


エクゼクティブサマリー

  • 経済産業省では、サイバー空間とフィジカル空間を高度に融合させることにより、多様なニーズにきめ細かに対応したモノやサービスを提供し、経済的発展と社会的課題の解決を両立する超スマート社会「Society5.0」の実現へ向けて様々なデータの「つながり」から新たな付加価値を創出していく「Connected Industries」という概念を提唱し、その実現に向けた取り組みを推進している。「つながる」ことによるネットワーク化の進展は、悪意のある者にとって新たな攻撃の機会ともなっていくおそれがあるため、各企業におけるサイバーセキュリティ対策に加えて、サプライチェーン全体としてサイバーセキュリティ確保に向けて取り組む必要がある。また、サイバー攻撃は国境を越えて行われるものであり、米欧各国等との連携を強化し、我が国の取り組みを積極的に国際標準に提案するなど、国際ハーモナイゼーションを確保していくことを常に視野に入れた取り組みを進めていく必要がある。
  • このような背景を踏まえ経済産業省では、平成 29 年 12 月に産業界を代表する経営者、インターネット時代を切り開いてきた学識者等から構成される「産業サイバーセキュリティ研究会」(以下、「研究会」という。)を立ち上げた。サプライチェーンのサイバーセキュリティ強化に向けては、「制度・技術・標準化」WG にて、「Society5.0」における新たな形のサプライチェーンに求められるセキュリティ対策の全体像を整理した「サイバー・フィジカル・セキュリティ対策フレームワーク」(以下、「CPSF」という。)を平成 31 年 4 月に策定した。CPSF では、「Society5.0」における産業社会を3つの層(企業間のつながり(第1層)、フィジカル空間とサイバー空間のつながり(第2層)、サイバー空間におけるつながり(第3層))に整理し、セキュリティ確保のための信頼性の基点の明確化を行った。加えて、産業分野共通の課題を検討する分野横断 SWG、タスクフォース(以下、「TF」という。)等を立ち上げ、それぞれの課題に応じた検討を並行して進めている。
  • CPSF では、サイバー空間とフィジカル空間が高度に融合した産業社会の中で、サイバー空間とフィジカル空間の境界で交換される情報が正確に転換されること、つまり境界上における“転写”という役割に焦点を当て、第 2 層の信頼性の基点を転写機能とした上で、転写機能の信頼性を確保するための対策要件及び対策例を提示しているが、転写機能を担う IoT 機器等の多様性やインシデントが発生した場合の被害の複雑化等も踏まえ、IoT 機器等に求められるセキュリティ対策やリスクアセスメントの考え方等について更なる検討が必要である。そこで、令和 2 年 11 月に、サイバー空間とフィジカル空間をつなぐ新たな仕組みによってもたらされる新たなリスクに着目し、リスク形態及びそうしたリスクに対応するセキュリティ・セーフティ対策の類型化の手法を提示する「IoT セキュリティ・セーフティ・フレームワーク」(以下、「IoTSSF」という。)を策定した。
  • サプライチェーンのサイバーセキュリティ強化に向けては、各国政府においても取り組みが行われている状況下で、日本が国際的なサイバーセキュリティ対策のルールメイキングに主導的な役割を担えるようになるためにも、日本からサイバーセキュリティ対策の枠組みを提案することが重要である。
  • 本事業では、研究会及び各 WG 等の議論を踏まえ、各国政府の取り組みやその他国内外のセキュリティ等に関する文献等を調査し、サイバー空間におけるつながりの信頼性及びIoT機器等の転写機能の信頼性を確保するための対策要件等の検討及び CPSF 等に基づく国際規格(TR等を含む。)の推進を目的として実施した。
  • 本事業項目(1)「サイバー空間におけるつながりの信頼性及び IoT 機器等の転写機能の信頼性を確保するための対策要件等に関する動向等についての調査」では、IoT 機器等の転写機能の信頼性を確保するために求められる標準化団体、業界団体及び外国政府の取り組み等や IoT 機器等のセキュリティ対策、及びそれらの信頼性の確認手法等について、公開情報等を調査し整理した。また、一連の IoT-SSF の適用の流れを複数のユースケースを用いて例示するユースケース集を検討し、事業期間中開催された TF 等の議論の内容を反映して、「IoT セキュリティ・セーフティ・フレームワーク Version 1.0 実践に向けたユースケース集」としてまとめた。
  • サイバー空間におけるつながりの信頼性を確保するために求められる標準化団体、業界団体及び外国政府の取り組み等やデータのセキュリティ対策及びそれらの信頼性の確認手法等について、公開情報等を調査し整理した。また、事業期間中 2 回実施したパブリックコメントでいただいた意見や、TF 等での議論の内容を反映し、「協調的なデータ利活用に向けたデータマネジメント・フレームワーク~データによる価値創造の信頼性確保に向けた新たなアプローチ」としてまとめた。
  • 本事業項目(2)「CPSF 等に基づく国際規格(TR 等を含む。)の推進」においては、CPSF をベースにした国際標準化を推進することを目的として、推進に必要な諸外国の政府又は政府関連機関、業界団体、標準化団体等によるルール形成の取り組み状況等の調査や、ISO/IEC及びそれに関連する会議等における必要な働きかけの実施、CPSF 等に基づく国際規格(案)の作成等を実施した。
  • 具体的には、国際規格策定に向けた検討のロードマップを策定し、適宜必要な文献調査等を実施しつつ、サイバーセキュリティに関する国際規格の策定や維持管理を担う ISO/IEC JTC1/SC 27/WG 4 (セキュリティコントロールとサービス)の国内エキスパートと連携して本件に係る国際規格策定プロジェクトの提案及び PWI(予備業務項目)、NWIP(新規作業項目提案)としてのプロジェクト推進、その他必要に応じて国内外の関係者との意見交換を行った。CPSF をベースにした国際標準の実現に向けては、2022 年度以降も、本調査を通じて策定されたロードマップや識別された推進上の課題等を参照して、ISO/IEC JTC 1/SC 27/WG 4 におけるプロジェクトを効果的に推進していくことが期待される。

 

過去分...

・2022.06.24 熱供給事業のサイバーセキュリティ対策に関する調査事業 報告書

20220716-71507

・2022.06.17 北海道におけるサイバーセキュリティコミュニティ強化に向けた調査 調査報告書

20220716-71552

・2022.06.17 宇宙産業におけるサイバーセキュリティ対策に関する調査 調査報告書

20220716-72602

 

・2022.05.25 電力分野のサイバーセキュリティ対策 のあり方に関する詳細調査分析 報告書

20220716-72345

・2022.04.06 令和3年度四国地域の中小企業サイバーセキュリティ対策促進事業 調査報告書(公表用)

20220716-72450

 



 

 

|

« 個人情報保護委員会 第209回 個人情報保護委員会議案 尼崎市USBメモリ紛失事案の対応方針について | Main | 中国 国家サイバースペース管理局が「インターネット利用者アカウント情報管理規定」を公布 (2022.06.27) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 個人情報保護委員会 第209回 個人情報保護委員会議案 尼崎市USBメモリ紛失事案の対応方針について | Main | 中国 国家サイバースペース管理局が「インターネット利用者アカウント情報管理規定」を公布 (2022.06.27) »