第19回 “あのセキュリティ事故”はどうやったら防げた? 検証委員会
取引先の信頼を失わないためには「実効性のある運用」までが大切
SCS評価制度、“形だけの★3取得”が招いた取引停止の危機 どうやったら防げた?
提供: フォーティネット
■今回のストーリー:
南東北に本社を構えるプラスチック部品製造業のM社は、従業員90名ほどの中小企業だ。会社規模は小さいながらも大手家電メーカーや情報通信機器メーカーを取引先に持ち、顧客の特殊なニーズにも柔軟かつ迅速に対応できる技術力を誇っている。
そんなM社に2027年の夏ごろ、取引先のメーカーであるC社から、サイバーセキュリティ対策の強化を求める要請が入った。近年、製造業のサプライチェーン全体に影響を与えるサイバー攻撃被害が頻発しているため、C社でもサプライチェーン全体のセキュリティリスクを見直し、取引先にもセキュリティ対策を求めていく方針になったという。
具体的には、2027年の春にスタートした「サプライチェーンセキュリティ対策評価制度(SCS評価制度)」を統一基準として、すべての取引先に「★3」以上のセキュリティ水準を求めていくという。今後の取引契約では必須要件となるため、「できれば3カ月以内に★3評価を取得してほしい」という話だった。
M社にはIT/セキュリティの専任部署も担当者もおらず、それらの業務は総務部が兼任している。C社は大手取引先の一社であり、M社の社長は★3評価の取得が欠かせないと判断して、総務部に対し「早急に」取得作業を進めるよう指示を出した。★3は基礎的なセキュリティ対策水準と位置づけられており、社長も取引先のC社も「簡単に取得できるはず」と考えていた。
だが、指示を受けた総務部が★3の要求事項を確認したところ、M社では未対応の対策や、部署ごとに対応がまちまちの対策がいくつも見つかった。このままでは★3評価は取得できない。「3カ月以内」というスケジュールを死守すべく、総務部では大あわてで対策の強化を開始した。
M社総務部では、いくつかの未実施事項について新たに社内ルールを策定し、社内の各部署にルールを厳守するよう通達した。また、部署ごとに異なる運用が行われていた対策についても、運用を統一するよう各部署に指示を出した。
半ば無理やりではあったが、こうしてM社では★3の要求事項チェックシートを「○」で埋め、セキュリティコンサル会社の確認を受けた。コンサルタントは、シートに書かれた対策の実施状況について何点か口頭で質問したが、M社総務部の担当者は“甘めに”回答をして切り抜けた。
このようにして、M社では何とか3カ月以内に★3の評価を取得できた。取引先であるC社からは早急な対応に感謝され、取引契約も無事継続できることになった。総務部の担当者はほっと胸をなで下ろした。
ただし、この“間に合わせのセキュリティ対策”の効力は薄かった。特に問題だったのは、新たに策定したセキュリティルールが現場の反発を買い、現実にはまったく機能しなかった点である。総務部が新たなルールを社内に通達した当初から、現場では「これまでの業務プロセスにマッチしない」「よけいな手間が増える」と評判が悪く、ルールの抜け穴を探したり、完全に無視したりする社員が続出していた。
そして、案の定と言うべきか、半年後には重大なセキュリティ事故に見舞われてしまう。社内ルールでは禁止となった「パスワードの使い回し」が現場ではまだ行われており、これが原因となって業務システムへの不正アクセスが発生。C社を含む取引先の設計図面や発注情報などが盗み出され、犯罪者から脅迫を受けることになってしまった。
C社からは、情報漏洩の発生もさることながら、“実態の伴わないセキュリティ対策”を報告して★3評価を得ていたことが大きく問題視され、「取引停止も検討したい」と厳しい言葉が伝えられた。C社との取引規模は大きく、取引停止となるとM社の事業存続もゆるがしかねない事態になってしまう。……こうした事態は、どうやったら防げたのだろうか?
※このストーリーはフィクションです。実在する組織や人物とは関係ありません。
SCS評価制度が目指す「サプライチェーン全体のセキュリティ強化」
経産省が推進する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」は、2027年の3月~4月の開始が予定されている。今回のストーリーは、同制度がスタートした後に起こりうるアクシデントを想像して書いたものである。
近年は日本でも、サプライチェーン全体に影響が及ぶようなサイバー攻撃事件が頻繁に発生している。しかし、取引する企業間でサプライチェーン全体のセキュリティリスクを把握し、対策を進めるうえでは、次のような課題があった。
・発注者(委託元企業):委託先におけるセキュリティ対策が可視化しづらく、要求事項(チェックリストなど)の適正性の担保も難しい
・受注者(委託先企業):複雑なサプライチェーンの中で、さまざまな委託元からさまざまな要求事項を求められ、過度な対策負担につながっている
SCS評価制度では、セキュリティ対策の段階(水準)を示すことができる統一の基準を提供し、これらの課題を解消する。発注者と受注者が同じ基準でセキュリティ対策を考え、実施していくことで、サプライチェーン全体のセキュリティ強化につなげる仕組みだ。
同制度では、セキュリティ対策の段階を★3、★4(今後は★5も検討)で示す。★3、★4の違いは次のように説明されている。
★3:すべてのサプライチェーン企業が最低限実装すべきセキュリティ対策。基礎的な組織的対策とシステム防御策を中心に実施
★4:サプライチェーン企業などが標準的に目指すべきセキュリティ対策。組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施
SCS評価制度における★3、★4、★5(検討中)の位置づけ(出典:経済産業省)
実際の評価においては、対策の内容を大きく7つの観点からチェックする。7つの大分類の下には、より具体的で詳しい要求事項や評価基準が用意されており、これらをチェックシートとして活用することで、自己評価や対策の強化にも生かすことができる。
■★3の評価基準(7つの大分類と、要求事項の数) ※注
1:ガバナンスの整備(要求事項:3)
2:取引先管理(要求事項:3)
3:リスクの特定(要求事項:4)
4:攻撃等の防御(要求事項:13)
5:攻撃等の検知(要求事項:1)
6:インシデントへの対応(要求事項:1)
7:インシデントからの復旧(要求事項:1)
※注:SCS評価制度は現在も検討が続いている段階だ。ここでは執筆時点での情報を盛り込んだが、最新情報については必ず経済産業省「SCS評価制度 特設サイト」(https://www.meti.go.jp/policy/netsecurity/scs.html)を参照していただきたい。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
この連載の記事
- 第18回
sponsored
社長の【至急】メールはニセモノ! ビジネスメール詐欺で15億円の被害発生… どうやったら防げた? - 第17回
sponsored
“脱VPN”方針の大手エネルギー企業、だがZTNA移行の成功パターンが分からず… どうすればよい? - 第16回
sponsored
油断した中小企業、大手の取引先をランサムウェア感染させ取引停止に! どうやったら防げた? - 第15回
sponsored
「わずか3日」で狙われたVPNの脆弱性! 対策が後手に回り500GBの情報漏洩… どうやったら防げた? - 第14回
sponsored
化学メーカーの研究データが漏洩! 脆弱性診断が見落としたVPN装置… どうやったら防げた? - 第13回
sponsored
病院から患者の個人情報漏洩! “AI世代”研修医が引き起こしたシャドーAI事故……どうやったら防げた? - 第12回
sponsored
工場内からサイバー攻撃発生、しかし攻撃元が見つからない! ……どうやったら防げた? - 第11回
sponsored
工場の“サポート切れOSパソコン”がランサムウェアの感染源に! ……どうやったら防げた? - 第10回
sponsored
広告制作で無許可の“シャドーAI”利用、発表前の商品情報が漏洩! どうやったら防げた? - 第9回
sponsored
建設現場で協力会社のPCがランサムウェア感染、工事がストップ! どうやったら防げた?