第19回 “あのセキュリティ事故”はどうやったら防げた? 検証委員会
取引先の信頼を失わないためには「実効性のある運用」までが大切
SCS評価制度、“形だけの★3取得”が招いた取引停止の危機 どうやったら防げた?
提供: フォーティネット
SCS評価制度では「評価の取得」が目的にならないよう注意!
SCS評価制度は、商取引を行う2社間の合意に基づいて、任意で利用されるものである。前述したとおり、あくまでもセキュリティ対策の段階を示す統一基準を提供することが目的であり、「評価を取得していないと商取引が規制される」「今すぐ評価を取得しないと入札から除外される」といった位置づけのものではない。また「この製品を導入するだけで評価が取得できる」といった営業トークも、端的に言って「嘘」である ※注。
※注:同制度の位置づけをこのように曲解して/誤解させて、製品やサービスの勧誘を行う営業活動が行われていると、経済産業省から注意喚起文書が発表されている。くれぐれもご注意いただきたい。
それでも今後、取引先からセキュリティ対策状況について報告が求められ、その手段としてSCS評価制度が活用されるケースは増えるだろう。特に、サプライチェーンの受注側になることの多い中小企業では、同制度の★3、★4の取得に取り組むケースが増えるはずだ。
その際、今回のストーリーのように評価の取得が目的となり、実効性を無視した“チェックシート項目を○で埋める”ような対策になってしまってはいけない。特に、★3は自己評価ベースで取得できてしまうため ※注、M社のような“甘めの自己評価”で進めてしまうと、実態は対策が不十分にもかかわらず、評価が取得できてしまうおそれがある。
※注:★3評価の取得には、外部のセキュリティ専門家による自己評価文書(提出書類)の確認も必要である。ただし、この文書確認は「主に、記載内容に矛盾がないか、評価基準から見て十分な事項が記されているかの確認」(IPAの解説より)にとどまり、実地審査はない。
前述したとおり、同制度は「最低限実装すべきセキュリティ対策(★3)」や「標準的に目指すべきセキュリティ対策(★4)」の統一基準を示し、具体的な要求事項を挙げている。それぞれの要求事項が「なぜ求められているのか」までを理解して、実効性のある、本質的なセキュリティ対策を実施していくことが大切である。
加えて、「セキュリティ製品/サービスの導入」「社内ルール/ポリシーの策定」といった“形を整える”対策だけでは不完全であり、それらを“実効性をもって運用すること”も不可欠である。今回のストーリーでも、「パスワードの使い回し禁止」というルールは定めていたが、社員がそのルールの意味を理解しているか、ルールが現実に順守されているかどうかの確認まではできていなかった。
そもそもM社では、★3の評価取得を急ぐあまり、現場社員に対して「なぜいまセキュリティ対策の強化が必要か」「評価の取得が今後の取引にどう影響するのか」の説明も、「セキュリティルールの強化で現場業務にどんな影響が出るのか」という聞き取りもなされていなかった。その結果、社員は対策に消極的な姿勢を取ってしまい、それがセキュリティ事故につながってしまったのだ。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
この連載の記事
- 第18回
sponsored
社長の【至急】メールはニセモノ! ビジネスメール詐欺で15億円の被害発生… どうやったら防げた? - 第17回
sponsored
“脱VPN”方針の大手エネルギー企業、だがZTNA移行の成功パターンが分からず… どうすればよい? - 第16回
sponsored
油断した中小企業、大手の取引先をランサムウェア感染させ取引停止に! どうやったら防げた? - 第15回
sponsored
「わずか3日」で狙われたVPNの脆弱性! 対策が後手に回り500GBの情報漏洩… どうやったら防げた? - 第14回
sponsored
化学メーカーの研究データが漏洩! 脆弱性診断が見落としたVPN装置… どうやったら防げた? - 第13回
sponsored
病院から患者の個人情報漏洩! “AI世代”研修医が引き起こしたシャドーAI事故……どうやったら防げた? - 第12回
sponsored
工場内からサイバー攻撃発生、しかし攻撃元が見つからない! ……どうやったら防げた? - 第11回
sponsored
工場の“サポート切れOSパソコン”がランサムウェアの感染源に! ……どうやったら防げた? - 第10回
sponsored
広告制作で無許可の“シャドーAI”利用、発表前の商品情報が漏洩! どうやったら防げた? - 第9回
sponsored
建設現場で協力会社のPCがランサムウェア感染、工事がストップ! どうやったら防げた?