最近のサイバー攻撃の状況を踏まえ、経営者の皆様へサイバーセキュリティの取組の強化に関する注意喚起を行います-経済産業省 (2020年12月25日)

最近のサイバー攻撃の状況を踏まえ、経営者の皆様へサイバーセキュリティの取組の強化に関する注意喚起を行います-経済産業省 (2020-12-25)
強い調子の題で、経済産業省から12月18日に警告が出ました。その真っ先が「中小企業を巻き込んだサプライチェーン上での攻撃パターンの急激な拡がり」です。この項目の今回の注意喚起の趣旨には「サプライチェーン全体において、攻撃パターンの多様化によって攻撃起点が一気に拡がっている状況にある」ことが指摘されています。技術的な側面が含まれること、および自社内のセキュリティ対策を購買部門が情報システム部門と乖離して独自に行なったりしないことが重要です。一方で取引先(サプライヤー)となると、情報システム部門の業務範囲外などで、手薄になる場合もあります。しかし、現在の政府のサプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）ではそこまで求めていないものの、防衛産業などを主体に、買い手企業がサプライヤーのサプライチェーン情報セキュリティを監督する責任を求める動きがあります。また情報漏洩が発生した場合の報告・公表については、今回の注意喚起でも次のように記載されています。「④ 改めて「基本行動指針（共有・報告・公表）」に基づいた活動の徹底を 6 月 12 日に公表した「昨今の状況認識」では、サプライチェーンを他の企業とともに構成していることに伴う責任と、企業が負っている社会的な責任を果たしていくために、以下の３つについて実際のアクションとして取り組んでいく必要があることを訴え、6月 30 日に開催された産業サイバーセキュリティ研究会において、これら３つの項目を「基本行動指針」として提示した。 ①サプライチェーンを共有する企業間におけるサイバー事案に関する高密度な情報共有の実施 ②機微技術情報の流出懸念がある場合の経済産業省への報告 ③情報漏えい等の被害が取引先等不特定多数の関係者に影響するおそれがある場合における関係者の影響緩和の取組促進のための公表の実施 11 月 1 日に発足した SC3 の規約においても、「基本行動指針」の内容が反映されており、産業界が一丸となってサイバーセキュリティの強化に取り組んでいく上での重要な指針となっている。経営者は、改めて「基本行動指針」に則った事案への対処を進めるよう、担当責任者及び担当部局に指示し、自社に対する社会的な信頼と産業界全体の取組の強化に貢献していく姿勢を明確にすることが求められる。」サプライヤーとの緊密な状況共有を実施し、万一漏洩が発生した場合には、サプライヤー規模によっては買い手企業が主体的に動く必要があります。しかし同時期(12月15日)にNRIセキュアテクノロジーが発表した「企業における情報セキュリティ実態調査2020」では、サプライヤーのセキュリティ対策を把握していないとの回答が国内48.1％、国外64.1％にものぼり、上記の基本行動指針を充足する状況には程遠いことが示されています(把握していないは、米国では国内10.8％,国外13.7％,オーストラリアでは国内13.3%,国外10.0%)。参考) サイバー攻撃、年末年始に増大　経産相が注意喚起-日本経済新聞 (2020年12月18日) https://www.nikkei.com/article/DGXZQODF182A20Y0A211C2000000