自動車メーカー
2022年3月、大手自動車メーカーの部品供給業者がランサムウェア攻撃を受け、部品供給システムが停止。大手自動車メーカーの国内全工場が1日全面停止。
医療機関
2022年10月、総合病院の給食委託業者がランサムウェアに感染し、病院のシステムに侵入し、電子カルテや給食システムが約2ヶ月停止。システムが約2ヶ月間停止し、患者対応や医療業務に重大な影響を及ぼした。
自治体
2024年5月、自治体が印刷業務を委託する印刷業者がランサムウェアに感染し、自治体の個人情報が流出。合計60万件以上の個人情報が流出し、自治体の住民サービスや信頼性に重大な影響を及ぼした。
こうした背景を踏まえ、経済産業省が主導して検討を進めているのが「サプライチェーン強化に向けたセキュリティ対策評価制度」。サプライチェーン全体の底上げを目的とする「組織の情報セキュリティ対策状況の“見える化”」を行う評価・格付けの制度で、2026年度の公開を目標にしています。
対策状況により、自己評価で取得できる★3、第三者評価が必要な★4★5の三段階での格付けになる見込みで、★3、★4については既に大枠の方針が示されています。
この制度開始後は、セキュリティリスクを低減してビジネスを推進するため、発注側が取引先を選定する際の1つの基準として格付け結果が活用されるようになると想定され、早めの対応が必要になります。
しかし、ガイドライン等の準拠可視化には課題も
- セキュリティは非機能要件で、要件を洗い出すのは難しい
- 専門的かつ難しい情報技術に関する知識が必要
- 社内のセキュリティ人材は多くないのに、対応に関する負荷が大きい
専門家による評価制度の内容に即した対策状況可視化
で準備をスタート!
セキュリティ対策状況可視化サービス(Essential)の強み
制度対応を後押し
評価項目と現状の対策状況とのギャップを可視化し、今後取組むべき対策をご提案
安価に相談可能
全ての評価項目ではなく最も重要な評価項目に絞ることで、安価にご提供
迅速なフィードバック
現状の対策状況の把握から報告会まで、約2週間程でフィードバック
サービスの評価項目
※NIST SP800-171:サプライチェーンを通じての情報漏洩を防ぐことを目的とした委託先に求めるセキュリティ対策ガイドライン
※CIS Controls V8:サイバー攻撃の対策に特化したフレームワーク
セキュリティガバナンス
体制、セキュリティポリシー、教育、セキュリティガバナンス
セキュリティマネジメント
インシデント対応
サプライチェーンセキュリティマネジメント
委託管理
アイデンティティマネジメント
識別、認証、認可
インフラセキュリティ
サーバセキュリティ、モニタリング、データセキュリティ、
端末セキュリティ、ウィルス対策、バックアップ
ネットワークセキュリティ
通信制御、社内ネットワークへの接続制御、不正通信の検知・防止
ファシリティマネジメント
資産管理、リスクアセスメント
報告書サンプル
