無料会員登録
日本自動車工業会(JAMA)と日本自動車部品工業会(JAPIA)が2023年9月に公開した「自工会/部工会・サイバーセキュリティガイドライン 2.1版 」において、求められているセキュリティリスク管理体制と、セキュリティ対策ツールについて解説します。
出典自工会/部工会・サイバーセキュリティガイドライン 2.1版
自工会/部工会・サイバーセキュリティガイドラインとは
自動車産業サイバーセキュリティガイドラインは、2020年3月31日に初版を策定したことからスタートして、2022年3月31日に改訂版(2.0版)が策定されました。そして、自己評価結果の提出方法のシステム化に伴う入力項目を追加した「自工会/部工会・サイバーセキュリティガイドライン 2.1版」として、2023年9月1日に公開されています。
このガイドラインは「自動車業界に関係する全ての会社」のオフィスでのセキュリティを対象とし、工場・販売・コネクティッド領域は次年度以降の検討課題になっています。
そして、要求事項と達成条件として153のチェック項目についてレベル1~3に分類して定義されています。
| レベル | 対象企業 |
| レベル3 29項目 |
|
|---|---|
| レベル2 74項目 |
以下のいずれかに該当する会社
|
| レベル1 50項目 |
|
153のチェック項目はそれぞれ下記表の24個のラベルに分類されていて、ラベル毎に目的、要求項目、レベル、達成条件、達成基準が設定されています。
| 1 | 方針 | 9 | アクセス権 | 17 | 通信制御 |
| 2 | 機密情報を扱うルール | 10 | 情報資産の管理(情報) | 18 | 認証・認可 |
| 3 | 法令順守 | 11 | 情報資産の管理(機器) | 19 | バッチやアップデート適用 |
| 4 | 体制(平時) | 12 | リスク対応 | 20 | データ保護 |
| 5 | 体制(事故時) | 13 | 取引内容・手段の把握 | 21 | オフィスツール関連 |
| 6 | 事故時の手順 | 14 | 外部への接続状況の把握 | 22 | マルウェア対策 |
| 7 | 日常の教育 | 15 | 社内接続ルール | 23 | 不正アクセスの検知 |
| 8 | 他社との情報セキュリティ要件 | 16 | 物理セキュリティ | 24 | バックアップ・復元(リストア) |
セキュリティリスク管理体制
ガイドラインのラベル4、5の体制で、サイバー攻撃や予兆を監視・分析をする組織とは、以下のようなセキュリティ専門組織を指します。
- サイバー攻撃の検出やインシデントの特定を行う SOC(ソック:Security Operation Center)
- インシデントが発生した際に対応を担う CSIRT(シーサート:Computer Security Incident Response Team)
これらの組織は、サイバー攻撃は、いつ行われるかわからないため、それを監視する組織も24時間365日体制での対応が求められます。自社で体制を整備する場合と、外部委託を活用する場合があります。外注する場合は、専門的な体制や機能を提供するMDR(Managed Detection and Response)サービスなどを検討し、自社で担当する業務との役割分担を明確にして導入可能な体制を整備することが重要となります。
マルウェア対策と不正アクセス検知
ガイドラインのラベル22のマルウェア対策で、以下の達成基準を求めています。
- ウイルス対策ソフトのパターンファイル常時更新・・・対象の会社はLv1(自動車業界に関する全ての会社)
- エンドポイントでの詳細な履歴取得およびマルウェア感染後の遠隔対応が可能な行動追跡システムの導入・・・Lv3
- メールによるマルウェア感染防止のため、メールゲートウェイでのマルウェアチェック実施・・・Lv2
- メールの添付ファイルによるマルウェア侵入防止ため、システムで拡張子制限実施・・・Lv2
- 不正な Web サイト閲覧によるマルウェア感染防止のため、Web ゲートウェイでのマルウェアチェック実施・・・Lv2
さらに、ガイドラインのラベル23の不正アクセスの検知では次の項目を達成基準としています。
- 通信内容を常時監視し、不正アクセスや不正侵入をリアルタイムで検知/遮断および通知する仕組の導入・・・Lv2
- インシデント発生時の調査のために必要なログの取得・・・Lv2
- 重要なシステムについて、アプリケーション操作ログの取得・・・Lv3
- ログを分析し、サイバー攻撃を検知する仕組みの導入・・・Lv2
- 社内に侵入したマルウェアと不正なサーバーとの通信を遮断する対策の実施・・・Lv2
- インターネットに公開している Web サイトのサイトの改ざんを検知する仕組の導入と、定期的な確認・・・Lv3
これらの項目を解決するためには、ウイルス対策ソフト EPP(Endpoint Protection Platform)、詳細な履歴取得およびマルウェア感染後の遠隔対応が可能な行動追跡システムとしてEDR( Endpoint Detection and Response )、ネットワークを監視するためのUTM(Unified Threat Management)などのセキュリティツールの導入が必要です。さらに、これらのセキュリティツールを活用して監視・分析する専門家が必要になります。
自工会/部工会・サイバーセ キュリティガイドライン V2.1解説書 では本項目達成の一助になるサービスとしてIPAの「サイバーセキュリティお助け隊サービス」が紹介されています。
「サイバーセキュリティお助け隊サービス」とは、中小企業に対するサイバー攻撃への対処として不可欠なサービスを効果的かつ安価に、確実に提供することを目的に、IPA(独立行政法人情報処理推進機構)が2021年2月に制定・公開したセキュリティサービス基準を満たしたサービスで、相談窓口、異常の監視、緊急時の対応支援、簡易サイバー保険などの各種サービスをワンパッケージで安価に提供することを要件としています。
ガイドラインを達成するためには?
自動車産業サイバーセキュリティガイドラインのマルウェア対策および不正アクセスの検知の項目を達成するためには、ウイルス対策ソフト EPP(Endpoint Protection Platform)、詳細な履歴取得およびマルウェア感染後の遠隔対応が可能な行動追跡システムとしてEDR( Endpoint Detection and Response )、ネットワークを監視するためのUTM(Unified Threat Management)などのセキュリティツールの導入が必要です。さらに、これらのセキュリティツールを活用して監視・分析する専門家が必要になります。
自工会/部工会・サイバーセ キュリティガイドライン V2.1解説書 では本項目達成の一助になるサービスとしてIPAの「サイバーセキュリティお助け隊サービス」が紹介されています。
「サイバーセキュリティお助け隊サービス」とは、中小企業に対するサイバー攻撃への対処として不可欠なサービスを効果的かつ安価に、確実に提供することを目的に、IPA(独立行政法人情報処理推進機構)が2021年2月に制定・公開したセキュリティサービス基準を満たしたサービスで、相談窓口、異常の監視、緊急時の対応支援、簡易サイバー保険などの各種サービスをワンパッケージで安価に提供することを要件としています。自社にセキュリティ対応する専門家が居ない企業にはお勧めのサービスです。
NEW
サイバーセキュリティお助け隊サービス
AXIS総合セキュリティパックのご紹介
「AXIS総合セキュリティパック」は、Sophosの最新製品を採用した次世代型セキュリティシステム(Sophos Firewall XGS、Sophos Intercept X )に24時間年中無休のマネージメントサービス(Sophos MDR)さらに導入コンサルティングサービスとサイバー保険をワンパッケージにした最高レベルの総合セキュリティサービスです。
さらに、Sophos Central Endpoint and Server製品の幅広い販売能力と高い技術的な製品知識を有していることをSophosが証明するSophos Central Endpoint and Server Partner認定企業です。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
