サイバー攻撃対応力5段階への格付け制度が2025年度にも
経産省 サイバー攻撃対応力 5段階に格付け制度
4月5日に経産省は企業のサイバー攻撃への対応力を5段階に格付けする制度を2025年度にも導入を行う政策案を公表しました。※1
格付けのレベル1~3はソフトウェアの定期更新や機密情報の管理体制の整備など、基本的な事柄が求められ、レベル4~5はサイバー攻撃の早期復旧や攻撃情報の官民への共有などが求められます。
そして認定の方法はレベル1~3は自社で対応状況を確認した上で宣言を行う方式となりますが、レベル4~5では外部の認定団体が対応状況を把握した上で第三者認証を受ける必要があります。
4月5日に経産省より公開された「第8回 産業サイバーセキュリティ研究会 事務局説明資料」※2では、レベル3ではサプライチェーン形成企業としての最低基準、レベル4ではサプライチェーン形成企業としての標準的な基準が求められることとなり、重要インフラや基幹インフラ及び関連サプライヤーが満たすべき基準がレベル5に当たるものとされています。
格付け制度による影響
この格付け制度によって、情報漏洩対策を含めたセキュリティ対策の強度が外部から可視化され、企業のセキュリティ対策の在り方が企業の信頼度に大きく影響するようになります。
その結果、企業の格付けのレベルが高いほど商談などのビジネスの機会で優遇される一方でレベルが低い企業は取引などを避けられ、ビジネスの面において大きく差が生まれることになります。
従って、企業側にセキュリティ対策への真摯な姿勢が今まで以上に求められ、取引先や消費者側はビジネスパートナーや商品の選定基準に企業のセキュリティへの取り組み方が加わります。
セキュリティ対策の見直しと情報漏洩対策
これまでの説明のように、セキュリティ対策への取り組みが企業の信頼度と直結するようになるため、今まで以上に信頼を高めてビジネスを成長させるには、現状のセキュリティ対策を見直す必要があると考えます。
見直すポイントには「マルウェア対策」「脆弱性管理」などから始まり「侵入・セキュリティイベント監視」「CSIRTなどのセキュリティ部門の構築・運用」など多岐に渡りますが、その中で「情報漏洩対策」は重要なポイントの一つに挙げられます。
ファイル暗号化による情報漏洩対策
情報漏洩対策には、ファイルなどの情報の最小単位を暗号化することが重要です。例えばファイルを暗号化した場合、サイバー攻撃や標的型攻撃などでファイルが外部へ流出したとしても、暗号化されたファイルの状態はそのまま維持されます。そのためファイルに含まれる情報は暗号化を不正に解かない限り読み取ることができず、情報漏洩を防ぐことができます。
しかし同じ暗号化であっても、ディスク暗号化などはPCの紛失・盗難、ディスクの転売などによる情報漏洩対策には有効ですが、コピーなどでファイルが暗号化領域となるディスクから別の領域に取り出されると、暗号化はされない状態でコピーされてしまいます。そのため、マルウェアなどによって暗号化されたハードディスクから取り出されたファイルは暗号化されない状態となるため、一般的にマルウェアを利用するサイバー攻撃や標的型攻撃などによる情報漏洩対策には効果がありません。
ディスクなどの大きい単位での暗号化は導入や運用のしやすさの面でメリットとなりますが、防ぐことができない情報漏洩のケースもあるため、万能ではありません。
一方、ファイルなどの小さい単位での暗号化は様々な漏洩のケースで有効に働くので、情報漏洩の根本対策となります。
最後に
「暗号化」は情報漏洩を防ぐための技術ですが、防ぐ目的によって暗号化の対象となるモノは変わります。
ディスクやPCの盗難・紛失による情報漏洩を防ぐにはディスク暗号化が適切で、通信の盗聴の防止にはSSLなどの通信の暗号化が適切です。「何の情報を」防ぐかによって相応しい暗号化ソリューションは変わります。
その中で情報そのものを守るには、ファイルなどの情報の最小単位を暗号化することが最も有効です。そして情報の最小単位を暗号化することが情報漏洩の根本対策となり、様々な情報漏洩を防ぐことができます。