経済産業省 「サイバーセキュリティ経営に関する調査 調査報告書」「地域SECUNITY形成促進事業 調査報告書」
こんにちは、丸山満彦です。
経済産業省が、「サイバーセキュリティ経営に関する調査 調査報告書」と「地域SECUNITY形成促進事業 調査報告書」を公表していますね。。。
委託事業者は、どちらも「みずほリサーチ&テクノロジーズ株式会社」ですね。。。
経済産業省「のサイバーセキュリティ経営ガイドラインと支援ツール」と関係がありますね。。。
● 経済産業省 - [PDF] 令和3年度 委託調査報告書 HP掲載一覧
・2022.08.26 [PDF] 令和3年度サイバー・フィジカル・セキュリティ対策促進事業(サイバーセキュリティ経営に関する調査)調査 報告書
目次
1.調査実施の⽬的、事業内容等
2.サイバーセキュリティ経営ガイドライン改訂及び可視化ツール普及促進に向けた調査
3.サイバーセキュリティ⼈材活躍モデルの構築のための調査
4.情報セキュリティサービス活⽤・普及に関する調査
5.まとめ
図1.1 調査の実施方針
1. サイバーセキュリティ経営ガイドライン改訂及び可視化ツール普及促進に向けた調査
1.1 経営ガイドラインの改訂に向けた調査と改訂⽅針案の作成
- サイバー・フィジカル・セキュリティ対策フレームワーク(以下、「CPSF」という。)ほか、経済産業省との協議のもとに定めた調査対象について、最新の動向調査を実施した。
- サイバーセキュリティ経営ガイドライン(以下、「経営ガイドライン」という。)Ver.2.0本⽂(英訳版を含む)について、改訂の必要性についての検討を⾏うととともに、改訂素案をとりまとめた。
- 経営ガイドライン付録Aについてはサイバーセキュリティ経営可視化ツール(以下、「可視化ツール」という。)の質問項⽬に合わせた形での修正を実施した。
1.2 企業調査
- ユーザ系企業10社、ベンダ系企業3社を対象に、経営ガイドラインへの意⾒や改訂版に盛り込むべき事項等について調査を実施した。
1.3 機関投資家へのヒアリング調査
- サイバーセキュリティやリスクマネジメント、ESG等について企業を評価、投資判断当⾏ったことがあり、⾒解を持つ機関投資家⼜はその団体8者に対し、企業を評価する際に⾒る項⽬、サイバーセキュリティに関して⾒る内容、企業をサイバーセキュリティの観点で評価するときに参考にするガイドライン等及び課題等について調査を実施した。
1.4 海外動向調査
- 海外企業8社及び対照群としてそれぞれの同業種の国内企業7社を対象に、企業が開⽰しているサイバーセキュリティに関する情報に関する取組
事例と動向について整理した。
1.5 有識者会議の開催
- 企業のサイバーセキュリティ対策に知⾒を有する6名の有識者によるタスクフォースを設置し、9回にわたる開催にあたっての事務局運営を担当した。
調査の概要...
2.2.1 ユーザ系企業調查
① サイバーセキュリティ経営ガイドラインVer.2.0の活⽤状況
② サイバーセキュリティ経営ガイドラインVer.2.0の改訂について
③ 「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」に対する取組状況
④ 「サイバーセキュリティ体制構築・⼈材確保の⼿引き(第1.1版)」の活⽤状況
⑤ 「サイバーセキュリティ体制構築・⼈材確保の⼿引き(第1.1版)」の改善について
⑥ 最近の状況(コロナ禍、DX進展など)によるセキュリティ体制の変化
⑦ 最近の状況によるセキュリティ施策の変化
⑧ セキュリティ⼈材の確保・育成⽅法
⑨ プラス・セキュリティ⼈材の育成⽅法
⑩ グループ・グローバル関連会社のガバナンス⽅法
⑪ グループ・グローバル関連会社のセキュリティ実施状況の把握⽅法
⑫ サプライチェーン(取引先)のセキュリティ対策実施状況把握⽅法
⑬ OT/IoT分野のセキュリティに関する体制や⼈材の役割定義
2.2.2 ベンダー系企業調査
2.3 機関投資家へのヒアリング調査
① 企業を評価する際に⾒る項⽬(機関投資家等)
② サイバーセキュリティに関して⾒る内容(機関投資家等)
③ サイバーセキュリティに関して⾒る内容(M&Aにおけるデューデリジェンス)
④ 企業をサイバーセキュリティの観点で評価する際に参考にしているガイドライン等
⑤ 企業をサイバーセキュリティの観点で評価する際の課題
⑥ 経済産業省による機関投資家への普及啓発の⽅法について
2.4 海外動向調査
気になる、サイバーセキュリティ経営ガイドライン ver2.0の活用状況...
2.2.1 ユーザ系企業調查
(8) ヒアリング調查
① サイバーセキュリティ経営ガイドラインVer.2.0の活⽤状況
<活用方法>
- ガイドラインの認知度は⾼く、施策や規定類の抜け漏れチェックやCISOの役割設定などに活⽤されている。
- セキュリティ統括部⾨の⽴ち上げや年間計画/5か年計画の作成時や経営会議での報告時にも活⽤されている。
- 成熟度低の企業では最近になってガイドラインを活⽤してセキュリティ対策をアセスしている。
- 経営層に説明する際に経産省のガイドラインで確認していることで納得が得られる(説得⼒がある)。
- 経営層に理解してもらうためにガイドラインを活⽤。
<経営者の意識、認識>
- 経営者にはリスクや経営への影響を認識してもらえば良く、技術的内容まで理解してもらう必要はない。
- セキュリティは専⾨性が⾼く、経営者がリーダーシップを発揮するのは難しいのではないか。
- 成熟度低の企業では経営者の意識を変えたい、セキュリティの重要性を認識してもらたいと考えているができていない。
<経営への報告>
- 経営者には定期的にリスク管理委員会からセキュリティの状況を報告。
- 経営者はセキュリティの重要性を認識しており、関係性も良いので予算や⼈の確保もできている。
<活⽤していない理由>
- ガイドラインはセキュリティ対策が進んでいる企業では有効ではない。
- セキュリティ施策は企業⽂化により異なるので、ベーシックな内容では活⽤しづらい。
<可視化ツール>
- 可視化ツールを使って実施状況を評価し経営会議に報告している。
- レーダーチャートで到達点を決め現状を評価することが有効。
<他のガイドラインの参照先として活⽤>
- 管轄省庁のガイドラインを参照しているが、このガイドランは経営ガイドラインを踏まえていると認識している。
- ベンダーの診断サービスで経営ガイドラインを参照した評価ができるようになっている。
② サイバーセキュリティ経営ガイドラインVer.2.0の改訂について
- 特に改訂の必要はないが約45%
- ガイドラインを活用していない企業はわからないと回答(全体の1/3)
<改訂に対する意⾒>
- 攻撃者から⽀払いを求められたときの対処⽅法をガイドしてほしい。
- リスクベースアプローチ、残存リスクに対する具体的アプローチ。
- CISOの役割とか必要となる能⼒について提⾔してほしい。
- 現実と対⽐して分かりにくい部分や、同様の記述があるので⾒直してほしい。
- 定量的に脅威を可視化して把握することを盛り込んでほしい。
<改訂の必要ない>
- 成熟度⾼の企業ではガイドラインはベーシックなものと認識しており、改訂の必要はないと考えている。
- ガイドラインは経営層向けであり、DX関連の動向で⾒直す必要はない。
グループ関連会社のガバナンス方法についてのユーザヒアリングも参考になる部分がありますね。。。
ただ、何割とかいうても、9社ですからね。。。
(P52とP51は同じかなぁ。。。あと、ベンダー企業へのヒアリング結果がないですかね。。。)
⓾ グループ・グローバル関連会社のガバナンス方法
- 約8割の企業は連邦型のガバナンス
- 集権型、文献型ガバナンスはそれぞれ約1割
<ガバナンス形態、役割分担>
- 連邦型のガバナンスで、会社ごとにシステムや予算も別であるが、各社にCISOがいる体制。
- 100%⼦会社は集権型だが、それ以外の関連会社は連邦型で、各社でセキュリティ対策を実施してもらい結果を報告してもらっている。
- 買収した企業はイントラにつないでいない。既存環境を維持したい場合はSP800-171をベースにした規定を遵守してもらっている。それができない場合は、セキュリティセンターがひな形を⽤意して要求事項を守れるように⾃分たちで細則を作って実施してもらっている。
<セキュリティ施策、IT環境>
- 既存事業を⾏っている関連会社は、セキュリティ施策(PC、EDR、ウイルス検知など)、ネットワーク、PC等のIT環境を標準化している。
- ADはグローバルのADチームがあって、各国のHQによるツリーの上のところをグローバルで管理し、各国・地域のツリーの下のところに関しては各地域のHQで管理する形にしている。
- インシデントが発⽣した時は、ネットワークを遮断したり、どう復旧させるかはグローバルで取り仕切っている。但し、ネットワークはSOCが24365で監視しており、異常を検知した場合は即時性のためインフラ部⾨が判断して対処している。
<予算、費⽤回収>
- セキュリティ予算はグローバルでIT予算の枠内で管理している。
- IT統括部で集中的に管理しているPCとかネットは⼀旦統括部でキャッシュアウトするが、内部で利⽤料として回収している。
<規定・ルール>
- 規定・ルールの基本的な部分はグローバル共通であるが、法令等により異なる部分は各リージョンに任せている。
- 関連会社も意識して規定・ガイドラインを作成している。
⑪ グループ・グローバル関連会社のセキュリティ実施状況の把握方法
- チェックシートによりセキュリティ実施状況を把握している、検討している企業がそれぞれ1/3
- 個別にセキュリティ実施状況を聞いている企業が1/3
<チェックリスト、定期的>
- 成熟度⾼の企業では、FISCの安全対策基準や、海外はNIST SP800、EUのENISAなどをベースにチェックシートを作っている。それ以外にはMITRE ATT&CKをベースにしたランサム攻撃に対する体制をみるチェックリストも作っている。
- 成熟度中の企業では国内関連会社はチェックシートによるチェックを毎年実施しているが、海外は実施していない。
- チェックシートは⾃⼰評価であり、インタビューなどで実施状況を確認することもあるが現地調査は実施できておらず、現場確認や実効性確認は課題である。
- 各部⾨、関連会社の対策状況を確認するためシステムの棚卸しを⾏っている。保有するシステムのセキュリティリスクに応じて3×3のラインマトリックスで分類して評価している。
<個別チェック、特定分野のチェック>
- 成熟度低の企業では、必要に応じて個別に、もしくは多要素認証を導⼊する場合など特定機能についてはチェックしている。
- クラウドはセキュリティ部⾨でチェックシートを作ってリスク評価している。
サプライチェーンも...
⑫ サプライチェーン(取引先)のセキュリティ対策実施状況把握⽅法
- チェックシートによりセキュリティ対策状況を聞いている、もしくは計画しているは合計でいで1/3
- 個別にセキュリティ対策状況を聞いている企業が1/3
- 一方、セキュリティ対策状況を把握していない企業も1/3
<IT環境、責任分界点>
- 取引先とのシステム接続仕様を決めており、その仕様の中でセキュリティ対策をしてもらうことが前提となっている。この中にインシデント発⽣時の責任分解点も含まれている
- システム開発会社とは専⽤の開発環境にしかつながらないような施策で、取り扱う情報も最⼩限にとどめて、かつモニタリングを掛けて後から追跡できるようにしている。
- 販売会社は契約ベースのガバナンスとなっている。シンクライアントを使ってもらい、ログを監視するなどガバナンスを強めている。
<契約、規定・ルール>
- システム開発の委託先とはセキュリティ基本契約を締結しており、定期的にセキュリティチェックしている。
- 取引先とは契約書にセキュリティ関連項⽬(NDAの保持、適切なセキュリティ対策の実施)が含まれている。個⼈情報を扱っているところは漏洩時の責任の明確化なども含まれている。
- 情報システムや情報資産を扱う取引先との契約書にはセキュリティ監査やチェック後の指⽰に従うような条項も含まれている。
- サプライチェーンのリスクが騒がれているので、機器とかソフトウエアを調達するときにセキュリティ条項を追加している。
<ネットワーク接続形態>
- サプライチェーンを把握するのは事業規模的に無理なので社内ネットワークに繋がせないようにしている。
- 通信販売店とのネットはつながっている。個⼈情報を扱うオペレーションセンターとは別ネットにして分離しているが、FWを介して繋がっている。
- 販売会社がシステムを使う場合は専⽤線とシンクライアントを使ってもらっている。そこから各店舗で持っているPCに情報を取り出せるようにしている。
- 開発会社とネット接続する場合は、決まった⽅法でしか接続させないようにしている。
<インシデント発⽣時の対応>
- ランサムウエアに感染した場合などはネットを遮断して状況を調査して、場合によっては広報と相談して社外公表することもある。
- サイバーセキュリティのインシデントが発⽣した場合に責任を取らせることはない。USBの紛失や個⼈情報の漏洩などは責任を追求することもある。
<チェックリスト>
- 成熟度⾼の会社ではサプライチェーンのセキュリティ対策実施状況をチェックリストでチェックしている。
- 事務やオペレーションの委託先のセキュリティ状況をどう把握するかは課題である。弁護⼠事務所、コールセンター、保険⾦査定会社などのセキュリティがどうなっているかは最近注⽬されている。
<個別チェック>
- 成熟度中の企業では、セキュリティ認証状況の確認やセキュリティ責任者の設置などを書⾯で聞いている企業がある。
- IT部⾨では何を預けているかは分からないので、事業部⾨の判断としてやってもらっている。
<特定分野のチェック>
- クラウドベンダーや個⼈情報を扱っている取引先はセキュリティチェックを⾏っている。
- システム開発(ウエブサイト構築など)するときなどはウエブサイトの作り⽅に準拠した作り⽅になっているかなどをチェックすることはある。
<顧客からのセキュリティチェック>
- 取引先としてチェックされることが多い。チェックシートはお客様各社個別で別々に対応しなければならず、提出には社内稟議を通す必要があり⼤きな負荷となっている。確認する側も⼤変なので、社会全般的なルール・指針を作ってもらうと助かる。
制御系システムのセキュリティ...
⑬ OT/IoT分野のセキュリティに関する体制や⼈材の役割定義
- OT/IoT分野もセキュリティ統括が担当しているのは約1割のみ
- OT/IoT分野の制御部分は事業部門が担当し管理部分をセキュリティ統括が担当している企業が1/3
- 最近の状況を考慮し役割分担と県警方法を検討している企業が1/3
<OT/IoTの担当部⾨と役割分担>
- ⼯場部⾨の独⾃ネットについてはセキュリティ統括は関与していないが、ITで管理しているネットにつなぐ場合は関与する。
- ⼯場のセキュリティについてはセキュリティ⽅針を経営の決定事項として展開している。⼯場の責任者会議、現場の担当者向け説明会でネットワークを接続する場合はセキュリティ統括が介⼊することを周知徹底している。
- 数年前に⼯場でラインが⽌まったこともあり、3年前から技術はセキュリティ統括、実施の責任は⼯場部⾨ということで⼆⼈三脚でセキュリティ強化を実施している。
- ⼯場部⾨のセキュリティは⼯場部⾨担当だが、技術的進歩が速くアドバイスを求められており、今後は積極的に関与していくことを検討している。
- OTとしては電気通信設備がある。電気通信設備の統括組織(ネットワーク事業推進本部)があり、その中にセキュリティ専⾨部隊が管理している。
- 新しい⼯場はネットワークアーキテクチャから、古い⼯場は機器の更新のタイミングに合わせて、アーキテクチャーとネットワークはIT部⾨が担当することになっておりセキュリティもチェックする。
機関投資家へのヒアリング...
① 企業を評価する際に⾒る項⽬(機関投資家等)
- リスクとして調査対象とするのは5年程度の時間軸でみる⻑期のものであり、移⾏リスク(気候変動の影響等)とオペレーショナルリスク(サプライチェーンの健全性等)に分けて扱う。それぞれの重みは業種によって異なるので、業種毎の担当を置いて取材する。
- 企業の評価の際に確認する内容は、企業の業種や成⻑ステージによって異なるが、いずれも事業におけるリスクを把握するところから始まる。
- 企業が指標として⽤いている値の経年変化はかなり参考になる。ただし指標として妥当かどうかは確認が必要。デジタル⼈材の充⾜⽬標に対する進捗率を出している企業があり、参考にしている。
- 投資家による単独での企業との対話には限界があり、集団で分担して企業を調べるようにしている。これにより、質問対象を絞る代わりに深い内容について尋ねることができる。こうした動きを踏まえ、経営層は投資家からの質問に対して、リスクがどの程度⾒込まれ、どう対策をしているか答えられるようにしておくべき。
- CEOがシステムに明るく、⾃分の⾔葉でDXの⽅向性や、活⽤するプラットフォームの考え⽅、外部連携を⾃分の⾔葉で語れると安⼼感がある。誰か担当者に尋ねた上で回答していると不安になる。
- 経営陣が適切な課題認識をもっているかどうかは重視している。課題について論理的に説明できることを期待している。
- 「気候関連財務情報開⽰タスクフォース(TCFD)」が「ガバナンス」、「戦略」、「リスク管理」、「指標と⽬標」の4つの柱に関して開⽰のプロトタイプを⽰している。投資家はこうした動きになじみはじめており、他のリスクに関しても開⽰のプロトタイプとして、わかりやすい開⽰を求める動きが出てくる可能性がある。
- 法律で開⽰が求められている情報の内容は各社とも似通っており、あまり読むことはない。⾃社にとって致命的なリスクをメリハリをもって⽰すことが重要。
② サイバーセキュリティに関して⾒る内容(機関投資家等)
- 企業がサイバーセキュリティを評価するのは、企業におけるリスクとして重要性(マテリアリティ)が⾼い場合。そうでない場合、事業上のすべてのリスクをチェックすることは⼀般的ではなく、対話のテーマにならない。
- サイバーセキュリティを含むITリスクの重要度が⾼いのはゲーム業界や⾦融業界。
- セキュリティ体制は機能していることが重要。現場と経営陣が円滑につながっているかを確認したい。
- 経営層がリスクをどの程度把握しているかを確認するため、開⽰内容は⼀通り参照する。サイバーセキュリティのリスクが⾼ければ、それをピックアップして確認する。
- ある企業で情報漏えいが⽣じたから、同じ業種のリスクが⾼いとは考えない。事故の当事者企業には個別に対策状況等を確認することはある。扱う情報が多い業種・業態のリスクは⾼いとは考えている。データの流出が企業の存続に関わるようなケースでは詳細に確認する。
- 開⽰される情報のエビデンスは重視していない。エビデンスがあってもリスクはゼロにならない。ただしプライバシーマークやISO認証などは若⼲の安⼼材料。それよりも、体制や想定リスクに関する質問に対し、クリアな情報が提⽰されることが重要。ある保健医療関係の組織の場合、機微データを扱える⼈数、場所の制限、監視状況などの具体的な説明があったので、信憑性があると判断した。
- 事故発⽣の可能性はゼロにならないので、リカバリーの体制が取られているのかを含めた開⽰を期待する。
- 「デジタルガバナンスコード」に準拠しているといった説明を受けるが、準拠していれば情報漏えいが⽣じないわけではないことは理解している。
- サイバーセキュリティの世界は、⼈権デューデリジェンスに近い捕捉の難しさがあると感じている。PDCAを通じたレベルアップを前提に、基準や取組事項をまとめた⾏動計画を普及させるべきではないか。
③ サイバーセキュリティに関して⾒る内容(M&Aにおけるデューデリジェンス)
- サイバーセキュリティ対策状況を評価する際に、かけている費⽤よりは、構築している体制や管理状況を主に評価する。費⽤だけでの判断は難しく、多額の費⽤を投じていることもない。買収先の社内環境をそのまま繋げて問題ないかどうかの視点で⾒る。
- M&AにおけるIT関連のデューデリジェンスはほとんどの企業を対象に実施している。サイバーセキュリティを対象とすることはまだ少ないが、以前に⽐べると増えている。
- M&Aにおいて、買収対象企業のIT管理体制、委託関係、運⽤・監査等の規定整備状況等を確認する。この中にサイバーセキュリティ対策状況も含まれる。場合により、サイバーセキュリティを重点的に確認してほしいと依頼されることもある。
- M&Aにおけるデューデリジェンスのプロセスにおいて、サイバーセキュリティを早期の段階から細かく調査することはない。買収が決まったところで改めてアセスメントするのが普通である。
- セキュリティ対策に問題があったことで買収が不成⽴になった事例は国内では聞いたことがない。ただし海外では個⼈情報の管理に問題があると指摘され、損害賠償に⾄ったケースはある。今後は国内でも損害賠償の事例が⽣じる可能性はある。
- 企業に対して情報提供を求める際、拒絶されることはないが、結果的に出てこないことはある。その結果、リスクとして検討すべきことが残留することになり、その旨を依頼元に報告する。
④ 企業をサイバーセキュリティの観点で評価する際に参考にしているガイドライン等
- ISO26000(組織の社会的責任)をもとに対応状況を把握している。
- 企業のサイバーセキュリティ対策の評価には、経営ガイドラインを利⽤している。網羅的にまとまっていることを評価している。経済産業省が作成したという点でも通りが良い。可視化ツールについては認知はしていたが使ったことはなかった。
- BtoCの⼩売業などの場合は個⼈情報管理について気にすることが多い。この場合は個⼈情報保護委員会のガイドラインなどをベースに確認する。
- 経済産業省における取組を認識していなかった。DXを進めていく上での落とし⽳などは経済産業省などで⼿引きとして⽰してもらえるとよいと思う。
- ステークホルダー保護の観点から、公的機関が最低限やるべきレベルを⽰してもらえるとよい。
⑤ 企業をサイバーセキュリティの観点で評価する際の課題
- サイバーセキュリティに関する認識と取組は⽇本全体で遅れていると認識しており、それは機関投資家においても同様である。その結果、資⾦の集まり⽅も鈍いのではないか。
- サイバーセキュリティ対策に携わる⼈材が圧倒的に不⾜しており、⼈材の認知と⽀援プログラムを整備すべきではないか。
⑥ 経済産業省による機関投資家への普及啓発の⽅法について
- 証券会社が開催するセミナーには多くの投資関係者が参加する。そこでサイバーセキュリティ経営や可視化について紹介すれば認知度が⾼まるのではないか。
- 機関投資家は証券会社のウェビナーを⾒るので、そこで経済産業省が取組を紹介してはどうか。
- 投資家の横の繋がりは弱い。個⼈単位で業界コミュニティ(投資家フォーラム、投信協会等)に参加する⼈はいる。
・2022.08.26 [PDF] 令和3年度中⼩企業サイバーセキュリティ対策促進事業(地域SECUNITY形成促進事業)調査報告書
目次...
1.事業⽬的、実施内容等
2.地域におけるサイバーセキュリティコミュニティの調査、プラクティス集の拡充
3.各地域に駆けつけ可能な講師派遣制度等の問い合わせリストの拡充
4.各地域におけるセキュリティコミュニティリストの作成
5.まとめ
参考
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在
« 中国「 2022年サイバーセキュリティ年次総会」と「サイバー文明会議」 | Main | 産総研 「機械学習品質マネジメントガイドライン 第3版」「機械学習品質評価・向上技術に関する報告書第2版」(2022.08.02) »
Comments