サイバー攻撃対応力5段階への格付け制度が2025年度にも

経産省サイバー攻撃対応力 5段階に格付け制度

4月5日に経産省は企業のサイバー攻撃への対応力を5段階に格付けする制度を2025年度にも導入を行う政策案を公表しました。^※1

格付けのレベル１～３はソフトウェアの定期更新や機密情報の管理体制の整備など、基本的な事柄が求められ、レベル４～５はサイバー攻撃の早期復旧や攻撃情報の官民への共有などが求められます。
そして認定の方法はレベル１～３は自社で対応状況を確認した上で宣言を行う方式となりますが、レベル４～５では外部の認定団体が対応状況を把握した上で第三者認証を受ける必要があります。

4月5日に経産省より公開された「第8回産業サイバーセキュリティ研究会事務局説明資料」^※2では、レベル３ではサプライチェーン形成企業としての最低基準、レベル４ではサプライチェーン形成企業としての標準的な基準が求められることとなり、重要インフラや基幹インフラ及び関連サプライヤーが満たすべき基準がレベル５に当たるものとされています。

格付け制度による影響

この格付け制度によって、情報漏洩対策を含めたセキュリティ対策の強度が外部から可視化され、企業のセキュリティ対策の在り方が企業の信頼度に大きく影響するようになります。

その結果、企業の格付けのレベルが高いほど商談などのビジネスの機会で優遇される一方でレベルが低い企業は取引などを避けられ、ビジネスの面において大きく差が生まれることになります。

従って、企業側にセキュリティ対策への真摯な姿勢が今まで以上に求められ、取引先や消費者側はビジネスパートナーや商品の選定基準に企業のセキュリティへの取り組み方が加わります。

セキュリティ対策の見直しと情報漏洩対策

これまでの説明のように、セキュリティ対策への取り組みが企業の信頼度と直結するようになるため、今まで以上に信頼を高めてビジネスを成長させるには、現状のセキュリティ対策を見直す必要があると考えます。

見直すポイントには「マルウェア対策」「脆弱性管理」などから始まり「侵入・セキュリティイベント監視」「CSIRTなどのセキュリティ部門の構築・運用」など多岐に渡りますが、その中で「情報漏洩対策」は重要なポイントの一つに挙げられます。

ファイル暗号化による情報漏洩対策

情報漏洩対策には、ファイルなどの情報の最小単位を暗号化することが重要です。例えばファイルを暗号化した場合、サイバー攻撃や標的型攻撃などでファイルが外部へ流出したとしても、暗号化されたファイルの状態はそのまま維持されます。そのためファイルに含まれる情報は暗号化を不正に解かない限り読み取ることができず、情報漏洩を防ぐことができます。

しかし同じ暗号化であっても、ディスク暗号化などはPCの紛失・盗難、ディスクの転売などによる情報漏洩対策には有効ですが、コピーなどでファイルが暗号化領域となるディスクから別の領域に取り出されると、暗号化はされない状態でコピーされてしまいます。そのため、マルウェアなどによって暗号化されたハードディスクから取り出されたファイルは暗号化されない状態となるため、一般的にマルウェアを利用するサイバー攻撃や標的型攻撃などによる情報漏洩対策には効果がありません。

ディスクなどの大きい単位での暗号化は導入や運用のしやすさの面でメリットとなりますが、防ぐことができない情報漏洩のケースもあるため、万能ではありません。
一方、ファイルなどの小さい単位での暗号化は様々な漏洩のケースで有効に働くので、情報漏洩の根本対策となります。