RSA Security Japan NetWitnessは10月11日、セミナーイベント「2024年に向けて、サイバーセキュリティ最新情報や多様化する脅威への対処法&防止策」を日比谷国際ビルで開催した。基調講演には、経済産業省 商務情報政策局サイバーセキュリティ課 課長補佐の村瀬光氏が登壇。産業分野におけるサイバーセキュリティ政策について解説した。

サイバー攻撃による企業活動への影響が拡大

同氏は冒頭、「“デジタル社会の実現"が経済産業政策の新機軸だ。地方創生や少子高齢化などの社会課題の解決にも不可欠なデジタル基盤の整備について取り組みを進めていく。DX(デジタルトランスフォーメーション)だけでなくGX(グリーントランスフォーメーション)や経済安全保障を実現していきたい」と経済産業省が掲げている方針を説明した。

  • 経済産業省 商務情報政策局サイバーセキュリティ課 課長補佐の村瀬光氏

    経済産業省 商務情報政策局サイバーセキュリティ課 課長補佐の村瀬光氏

昨今のサイバー攻撃による企業活動への影響は甚大だ。企業に対して行われた経済犯罪のうちサイバー攻撃が占める割合は直近の4年間で6倍になり、サイバー攻撃の被害にあった企業の株価は平均10%(純利益は平均21%)下落している。「サイバー攻撃の被害はインターネットにつながったすべてのものに影響が及ぶ。工場や病院といったミッションクリティカルな現場は業務を停止せざるを得ない。また、別の企業が踏み台となるサプライチェーン攻撃も増加の一途をたどっている」と村瀬氏は補足した。

NICTER観測レポートによると、2022年に観測したサイバー攻撃関連通信数は5年前と比較すると2.4倍に増えた。1IPアドレスでみると、17秒に1回攻撃関連通信が行われている計算になる。また昨今のサイバー攻撃は非常に複雑で高度化している。

  • サイバー攻撃は年々増加している

    サイバー攻撃は年々増加している

IPAが発行する「情報セキュリティ10大脅威 2023」によると、1位は「ランサムウェアによる被害」で、次いで「サプライチェーンの弱点を悪用した攻撃」、「標準型攻撃による機密情報の窃取」、「内部不正による情報漏洩」、「テレワークなどのニューノーマルな働き方を狙った攻撃」と続き、今日におけるサイバー脅威はシンプルなものではない。

  • 今日における「脅威」

    今日における「脅威」

ランサムウェアとは、マルウェアの一種で、感染したコンピュータをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、身代金を支払わない限り被害者を脅迫するといった攻撃だ。

2022年10月末、大阪急性期・総合医療センターがランサムウェア攻撃を受け、電子カルテシステムに障害が発生し、緊急以外の手術や外来診療が一時停止し通常診療ができない状況になった。病院の給食を委託していた業者のサーバからウイルスが侵入した可能性が高いとみられており、同医療センターは2カ月超にわたり通常診療を見合わせた。

村瀬氏は「サイバー攻撃の高度化、多様化が生じている現状を認識しつつ、日本の産業界へのサイバー攻撃を抑制し、事業活動への影響を最小化する。そのために国が行うべき政策を企画・実行していく」と経済産業省におけるサイバーセキュリティ政策のミッションを説明した。

経済産業省が策定した「サイバーセキュリティ経営ガイドライン」

そこで経済産業省では、経営者のリーダーシップの下での対策の促進するために「サイバーセキュリティ経営ガイドライン」を策定している。経営者が認識すべき3原則として「経営者が、リーダーシップを取って対策を進めることが必要」「自社のみならず、サプライチェーン全体にわたる対策への目配り」「平時および緊急時のいずれにおいても、社内外関係者との積極的なコミュニケーションが必要」を掲げ、経営者がCISO(最高情報セキュリティ責任者)などに指示すべき10の重要事項を示している。ガイドラインのダウンロード数は累計16万件を超えている。

  • 経営者のリーダーシップの下での対策の促進:「サイバーセキュリティ経営ガイドライン」

    経営者のリーダーシップの下での対策の促進:「サイバーセキュリティ経営ガイドライン」

また、サプライェーン攻撃の対象になりやすい中小企業への支援も加速させている。中小企業に対するランサムウェア被害は右肩上がりに増加しており、2022年の被害件数(230件)の内訳は大企業が63件(27%)に対して、中小企業は121件(53%)と5割を占める。また、17%の企業が過去に取引先がサイバー攻撃を受けそれが自社に及んだ経験があると回答している。2022年3月にトヨタ自動車が取引先企業のサーバがランサムウェアに感染したため部品供給を停止したことが記憶に新しいだろう。

  • 中小企業に対するサイバー攻撃の現状

    中小企業に対するサイバー攻撃の現状

経済産業省は中小企業向けのセキュリティ対策支援として、「中小企業の情報セキュリティ対策ガイドライン」の提供だけでなく、IPAが提供する標的型攻撃やランサムウェアなどのサイバー攻撃からパソコンなどの端末を守るための監視・運用サービス「サイバーセキュリティお助け隊サービス」を導入するための補助金を創設した。

さらに、重要インフラを守るための高度セキュリティ人材の育成にも力を入れる。中核人材の育成は「IPA産業サイバーセキュリティセンター(ICSCoE)」で行う。同センターでは、世界的にも限られている、制御系セキュリティにも精通する講師を招き、テクノロジー、マネジメント、ビジネス分野を総合的に学ぶ1年程度のトレーニングなどを実施する。電力、石油、ガス、化学、自動車、鉄道分野などの企業から1年間派遣しているという。

  • 中核人材の育成:IPA産業サイバーセキュリティセンター(ICSCoE)

    中核人材の育成:IPA産業サイバーセキュリティセンター(ICSCoE)

加えて、新たな攻撃を防ぎ、守るための研究開発も促進している。「AIを活用した攻撃に代表される新たなサイバー脅威の出現や、デジタル社会実装基盤に伴うサイバーリスクの増大も懸念されている。こうした状況の下で、産業界のサイバー脅威に対する強靭性を高めていくためには、産官学の高度なサイバー人材の知見を集積し、我が国全体での能力向上を図るための場を構築することががとても重要だ」(村瀬氏)