経済産業省は11日、サプライチェーンのサイバーセキュリティ対策強化の視点に加え、相次ぐランサムウエア攻撃など、猛威を振るうサイバー攻撃の脅威に屈しない、官民連携による体制の在り方などを検討する「第7回産業サイバーセキュリティ研究会」を開催した。同研究会では、セキュリティ対策の充実強化を訴える「産業界へのメッセージ」を発出。サイバー攻撃による被害が増加傾向であることを踏まえ、改めて各企業・団体などに組織幹部のリーダーシップの下、サイバーセキュリティ対策への取り組みを求めた。
第7回会合では、サプライチェーンのサイバーセキュリティ強化の取り組み推進に向け、官民が連携して取り組む施策などを検討。具体的には、ソフトウエアの脆弱(ぜいじゃく)性対応強化のためのSBOM(ソフトウエア部品表)の活用や、サイバーセキュリティお助け隊サービスの活用可能性、サイバーインシデントに係る事故調査の体制整備に向けた取り組みなどについて意見交換を行っている。
「産業界へのメッセージ」では、経営者向けに「サイバーセキュリティ対策を徹底し、持続可能な体制を確立する」「感染が確認された場合には、適時、報告・相談・対応を行う」「中小企業においては『サイバーセキュリティお助け隊サービス』などの支援パッケージを活用する」「ITサービスなど提供事業者は、製品・サービスのセキュリティ対策に責任を持つ」の四つのポイントを提示。サイバーセキュリティ対策の徹底に向け、「保有する情報資産を漏れなく把握」「不審なメールへの警戒や、機器などに対して最新のセキュリティパッチを当てるなどの脆弱性対策の徹底」「多要素認証などによる認証強化」などの対策を求めた。
持続可能な体制確立に向けては、「データ滅失に備えデータのバックアップを取得し、ネットワークから切り離された場所に保管する」「サイバー攻撃を受けた際の対応について、普段から役員および職員に対して教育・訓練を行う」などの準備の必要性を強調。システムが停止した場合に、業務を止めないための計画(BCP)を策定し、代替手段を整備することも要請している。
感染が確認された場合の対応については、感染拡大防止に留意するとともに、専門機関やセキュリティベンダーなどへ支援を依頼しつつ、早期の業務復旧を図ることを要請。サイバー攻撃者への金銭の支払いは行わず、エモテットの場合は、取引先を含めた関係者に状況を共有し、警察、所管省庁などへの相談・報告・届け出の実施などを求めている。
中小企業向けには「サイバーセキュリティお助け隊サービス」などの支援パッケージの活用を推奨。ITサービスなどの提供事業者は、「製品・サービスのセキュリティ対策に責任を持つ」ことなどを求めている。
詳細は、https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/pdf/20220411.pdfを参照。
サイバーセキュリティ対策についての産業界へのメッセージ
(2022年4月11日、産業サイバーセキュリティ研究会)
1.サイバーセキュリティ対策を徹底し、持続可能な体制を確立する
2.感染が確認された場合には、適時、報告・相談・対応を行う
3.中小企業においては「サイバーセキュリティお助け隊サービス」などの支援パッケージを活用する
4.ITサービスなど提供事業者は、製品・サービスのセキュリティ対策に責任を持つ
最新号を紙面で読める!