経済産業省は6月12日、昨今のサイバー攻撃の特徴や具体的事例を整理するとともに、今後の取組の方向性を取りまとめた報告書を発表しました。
同報告書は、大企業から中小企業まで、サプライチェーンの弱点を狙ったサイバー攻撃が顕在化・高度化していることを踏まえ、昨今のサイバー攻撃の特徴や具体的事例を整理するとともに、今後の取組の方向性を取りまとめたものです。
日々高度化するサイバー攻撃への継続的な対応が肝要に
2020年1月以降、三菱電機や日本電気にてサイバー攻撃の被害が相次いで報道されました。経済産業省はこの事態を重く受け止め、1月31日に「昨今のサイバー攻撃事案を踏まえた注意喚起と報告のお願い(報告のお願い)」を発出、機微情報を保有する企業に対して、各社のセキュリティ対策の点検や、サイバー攻撃による重要な情報の漏えい等の可能性があった場合は2月14日までに経済産業省へ報告するよう求めました。その結果、期限までに40件弱の報告がありました。
40件弱の報告では、サイバー攻撃によって重要な情報が漏えいしたとの報告はなかったが、報告の内容や昨今のサイバー事案から、サイバー攻撃が日々高度化していることが明らかになり、継続的にサイバーセキュリティ対策の状況を点検していくことがますます重要になっています。
報告書では、サイバー攻撃による昨今の被害の特徴として、「標的型攻撃の更なる高度化」「サプライチェーンの弱点への攻撃」「不正ログイン被害の継続的な発生」の3つを挙げて説明を加えています。
中小企業もサイバー攻撃の対象となっている実態が改めて浮き彫りに
経済産業省では、中小企業におけるサイバー攻撃発生後の初動対応を支援する「サイバーセキュリティお助け隊実証事業」を実施しており、中小企業に対するサイバー攻撃の実態も明らかになってきました。
実証事業には全国8地域 1,064社が参加、計910件のアラートが発生しました。そのうち、重大な事案の可能性ありと判断して128件の対処を行いました。なかには、対処を怠った場合の被害想定額が5,000万円近くになる事案もありました。
同報告書では、駆けつけ支援の対象となった特徴的な対応事例として、「古いOSの使用」「私物端末の利用」「ホテルWi-Fiの利用」「サプライチェーン攻撃」などを紹介しています。
サプライチェーン全体のセキュリティ確保のために求められる行動
企業が担うべき責任は自らの事業継続の確保に留まりません。サプライチェーンのセキュリティを確保する責任や、企業が負っている社会的な責任、例えば安全保障環境に大きな影響を与える可能性があるため適切な管理が法令で求められている機微技術情報の管理責任など、様々なものが考えられます。
同報告書では、こうした責任を果たすために企業が取るべきアクションとして、①サプライチェーン共有主体間での高密度な情報共有、②機微技術情報の流出懸念時の経済産業省への報告、③適切な場合における(事案の)公表の3つを提示しています。
同時に、中小企業を含めたサプライチェーン全体のサイバーセキュリティ対策の強化のために、中小企業のサイバーセキュリティ対策の取組の可視化を検討していく旨も提示しています。
