新年あけましておめでとうございます。2018年となりました。公共機関や大手企業のサイバーセキュリティ対策の準備が終り、いよいよ中小企業に対するサイバーセキュリティ対策要求がやってきます。

2018年最初のコラムは、サイバーセキュリティ政策が中小企業にどのような影響を与えてくるか、その展望を述べてみたいと思います。

重要インフラ分野の体制

2017年12月22日、内閣府で「重要インフラ専門調査会」の第13回会合が行われています。

ここでは、関係省庁の現状と今後の対応が報告されました。やはり、省庁により温度差が感じられる報告ではありますが、中小企業側から見て意識しておくべきポイントが見られました。

IoT機器のセキュリティ

IoT機器のセキュリティに関しては、ようやく制御系システムの安全確保の重要性が強調されるようになりました。今までも、"IoT機器をネットワークに繋げるということは、攻撃もされやすくなることだ"という話をしてきましたが、報告者も気付いてきたようです。

総務省は最初から「IoTセキュリティ総合対策」が入っています。攻撃監視をしているNICT(情報通信研究機構)を管轄していますから、そこからの報告を聞いて驚いたのでしょう。

観測された全サイバー攻撃1,281億パケットのうち2/3がIoT機器を狙った攻撃

このような監視結果も書かれています。
※一般には1,281億という数字だけでも驚かれるかも知れませんが...

IoT機器が狙われている

今、サイバー攻撃の中心はIoT機器を狙ったものです。パソコンよりも対策が取られていない機器が多いですからね。

ルータや監視カメラなど、初期パスワードも含めデフォルト設定を変えていない機器が非常に多い。それに加えて、これから“スマート化”と称して、工場の制御システムや家電がIoT化されようとしているのです。

攻撃する側にとっては、"カモがネギをしょってやってくるようなもの"です。

中小企業こそ危ない

中小企業にとっても他人事ではありません。何しろデフォルト設定された機器への攻撃をする者は無差別に行いますから。既に大量に乗っ取られています。

もう何年も前からデフォルト設定のまま、IP公開されている監視カメラを纏めてみられるようにした「Insecam」というサイトまであります。一度は話題になったのですが、気付かずにそのまま公開状態になっているサイトは、まだたくさんあります。ご存じない方は、すぐに自社のIoT機器の設定を確認した方が良いでしょう。

サイバーセキュリティ経営ガイドラインの活用

多くの企業に最も関係のある経済産業省の報告書は、やはり「サイバーセキュリティ経営ガイドライン」です。

〈関連〉
何が変わる?サイバーセキュリティ経営ガイドラインVer2.0改定案

その中で興味深いのが、経営ガイドラインの「活用状況調査」の結果です。100人以下の企業での活用は、約6%に留まっていました。まだ認知度は低いですね。これは実感としてあるでしょう。

ところが、重要インフラ企業の主流となる5,001人以上の企業での活用は、既に約60%に上っているのです。この差が今年、一気に中小企業に向かって流れだしてくるでしょう。

サプライチェーン対策の強化が求められる

なぜなら、経済産業省の報告書の中で、最も強調されているものの一つが、「サプライチェーン対策の強化」だからです。委託先の状況把握は欧米に比べ著しく遅れており、このままでは国内大手が海外戦略で後れを取るのではないか、との危機感があるからです。

そこで、報告書に記載されたのが「委託先の組織としての活用の把握(ISMSやSECURITY ACTION)」です。

サイバーセキュリティ経営ガイドラインの指示9に書かれていることですね。委託先のサイバーセキュリティ対策状況の把握は、内閣府での報告書の中でも、最も重要視されているのです。

「SECURITY ACTION」の年

こうなると、既にサイバーセキュリティ経営ガイドラインを活用している大手は、取引先にISMSかSECURITY ACTIONの導入を要求してくるでしょう。そうしないと、自分達で指導・監査しなければならなくなりますから。

多くの中小企業にとっては、いきなりのISMS導入は、心理的ハードルと審査・コンサル費用が高い。よって、今年はサイバーセキュリティ.comでも導入している、SECURITY ACTIONへの注目度が高まることになるでしょう。

少なくとも、重要インフラ企業との取引がある中小企業は、SECURITY ACTIONの一つ星は、早々に宣言しておいた方が良いでしょう。是非、事務局さんの過去のレポートも参考にしてみてください。

〈関連〉
セキュリティアクションでセキュリティ対策自己宣言してみた!「★一つ星」を取得する方法
セキュリティアクション「★★二つ星」にステップアップ

〈参照〉
重要インフラ専門調査会/内閣サイバーセキュリティセンター(NISC)

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。