IPA情報セキュリティ白書2022から、日本のセキュリティ対策の現状を見る

IPAより2022年7月15日に情報セキュリティ白書2022が発刊されました。書籍としての購入、IPAのページ(情報セキュリティ白書2022 7月15日発売:IPA 独立行政法人 情報処理推進機構)からのPDFファイルの無償ダウンロードができます。
この文書では、標的型攻撃、DDos攻撃、内部犯行などのセキュリティ脅威と対策方法について、国内や国際的に行われているセキュリティ対策や啓蒙活動の動向について、制御システムやIoTやクラウドに関するセキュリティについてなど、セキュリティに関する様々な内容がまとめられています。

この白書の二章の中盤では、日本、アメリカ、オーストラリアの三カ国のセキュリティ対策への取り組み状況の比較が取り上げられていました。
セキュリティに関する国際的な動きの中で日本はどのような状況にあるのかを紹介するため、今回のコラムでは白書の中でもこの章の内容について考察します。

セキュリティ対策に遅れを取る日本

IPA情報セキュリティ白書2022には日本とアメリカとオーストラリアの企業に対して行ったアンケート結果の一部が掲載されており、そこからは日本はアメリカとオーストラリアに比べて、セキュリティへの取り組みに出遅れているように受け取れます。

サプライチェーンに対するセキュリティへの働きかけについて

まずサプライチェーンへのセキュリティ対策状況についてです。日本はアメリカとオーストラリアに比べて、サプライチェーンのセキュリティ対策状況を把握している割合などのサプライチェーンへのセキュリティの統制が取れていないことがアンケート結果からわかります。

アンケートでは関連子会社に関する項目と国内パートナー/委託先に関する項目に分けられており、それぞれがアメリカとオーストラリアよりも日本が低い結果となっています。
特に国内パートナー/委託先のセキュリティ対策状況を把握している割合の日本は46.9%であることに対して、アメリカとオーストラリアではいずれも85%となっています。この結果から、日本は他の2カ国に比べて、協力企業へのセキュリティに対する働きかけが弱いことが分かります。

これまでもデンソー、トヨタ系のサプライチェーンがハッカー集団に狙われる事件が発生しており、サプライチェーンを構成する企業のセキュリティ対策状況の把握、セキュリティ水準を設定しそれに満たない企業への改善要求を行うなどの対策が求められます。(※1 ※2 ※3

IPA情報セキュリティ白書2022 P.112とP.113より

経営層、CISOの設置など、セキュリティ管理体制について

組織のセキュリティ管理体制の構築状況についても、日本はアメリカとオーストラリアに比べて進んでいない結果が出ています。

まずCISO(Chief Information Security Officer: 最高情報セキュリティ責任者)を設置している企業の割合が、日本の46.1%に対して、アメリカとオーストラリアが90%以上となっています。CISOとは情報セキュリティに関する統括責任者を指し、セキュリティ対策において経営層に近い立場になります。情報セキュリティの事件事故が発生した際は、情報システム部門などではできないような経営判断などを適切にスピード感を持って実行することが求められます。

IPA情報セキュリティ白書2022 P.113より

そして不足しているセキュリティ人材の種別に対しても、アメリカとオーストラリアは「経営層に対して適切な表現で、現状や対策内容等を説明・報告できる人」が1位となっており日本の1位は「セキュリティ戦略・企画を策定する人」となっています。

IPA情報セキュリティ白書2022 P.113より

この二つのアンケート結果を照らし合わせると、アメリカとオーストラリアは日本よりも、経営層のセキュリティへの関与やセキュリティインシデントが発生した際の迅速かつ適切な経営判断を行うことを重要視しており、セキュリティの万が一の事態を想定した体制作りを目指していると考えられます。

セキュリティに強い組織になるには

ここまでの説明の通り、日本のセキュリティ対策状況は国際的に見て進んでいるとは言えず、サイバー攻撃などのセキュリティインシデントへの対応力が他国と比べて弱いのではないかと推測されます。
特に昨今はサイバー攻撃がより活発に行われており、セキュリティ事件事故は決して対岸の火事ではない状況が続いています。また一度狙われると、それ以降も狙われやすくなり二度三度と被害を受けてしまうケースも多く発生しています。(※4)

そういった状況の中で、セキュリティに強い組織になることが求められています。白書には、そのような組織にはセキュリティ対策の状況やセキュリティリスクの存在を可視化してCISOや経営層と情報共有を行うことで、セキュリティリスクマネジメントを進めることが重要とされており、それらに必要なガイドラインやツールなどの資料も紹介されています。

DataClasysはファイルを暗号化した上で権限制御をするDRM/IRMソリューションで、情報そのものを守ることで情報漏洩への根本対策を行います。サイバー攻撃や内部犯行などで発生する情報漏洩への対策となり、セキュリティ対策の一つの柱としてDataClasysは大きな効果を発揮します。
現状の情報漏洩対策を不安に感じている方、サイバー攻撃などへのセキュリティ対策が不充分と感じている方は、ぜひ一度お問い合わせください。

参考

※1 三桜工業、米子会社にランサムウェア またも自動車部品メーカーにサプライチェーン攻撃 [コラム]

※2 デンソーのランサムウェア被害が判明 求められるサプライチェーン攻撃への対策 [コラム]

※3 トヨタ取引先の小島プレス工業も被害、2022年激化が予想されるランサムウェア攻撃について [コラム]

※4 ランサムウェア攻撃 身代金を支払った組織の8割が再被害との調査結果 [コラム]