役割を踏まえ事業継続性を確保
中上級レベル・四つ星
四つ星のセキュリティレベルは、初期侵入の防御に留まらず、外部からの攻撃に対して被害の拡大を抑止し、業務遂行への妨害リスクを最小化することで、取引先のデータやシステムを保護し、事業継続に資する水準である。
企業が標準的に備えるべき対策としては以下が挙げられる。
(1)組織的なガバナンス体制の確立
(2)取引先とのセキュリティ連携
(3)システムの多層防御・可視化
(4)インシデントへの即応力を備えた包括的なセキュリティ対策の実施
四つ星では、実効性ある統制と継続的運用が確立された状態にあることが必要であり、これは単なる対策の有無ではなく、組織のセキュリティレジリエンスの成熟度そのものである。四つ星は組織マネジメントと技術統制の双方で“回し続ける”ことを前提に、検知・復旧・改善を一体化させる。
三つ星と四つ星のどちらを目指すべきかは、ビジネス影響(データ保護・事業継続)とシステム接続(踏み台化の恐れ)の2軸で判定するべきである。まず、三つ星を「一般的な脅威に対処する最低限の対策」、四つ星を「初期侵入の抑止に加え、被害拡大防止と事業継続に資する包括対策」と位置づける。
その上で、以下の3つのうち1つでもYESがあれば四つ星を目指す。
1つ目は、取引先企業の重要な機密情報を自社のIT基盤で取り扱っているかどうか。
2つ目は、自社の事業中断が取引先企業の業務に許容できない遅延をもたらすかどうか。
3つ目は、自社環境から取引先企業内部システムへのアクセスが可能であるかどうか。
以上3つを確認した上で、最終的に適用調整を行う。直近で自社や同業他社でインシデントが観測されるなどリスク増大が懸念されるかどうか、再委託先(下位サプライヤー)に取引上重要な事業者が含まれるか、といった条件も加味して総合的に判断する。
透明性と予見性を兼ね備える
上級レベル・五つ星
五つ星は、セキュリティ対策の成熟度において最上位に位置づけられる。単なる対策実施や形式的な認証取得を超えて、セキュリティの透明性と予見性を兼ね備え、説明可能な形で対外的に示すことが求められる。これは、クラウドサービスプロバイダーに求められるCSA STAR認証における最上位レベルの「アカウンタビリティ(説明責任)」と「プロアクティブネス(予見的対応力)」の考え方と軌を一にする。
五つ星に求められるサイバーセキュリティの要件は、大きく次の2つに整理される。
(1)組織的マネジメントシステムの成熟(ISO/IEC 27001)
セキュリティが組織のPDCAサイクルの中で継続的に改善され、かつトップマネジメントがその取り組みを把握・統制している状態。ISO/IEC 27001(ISMS)を基盤としつつも、それを超えて内部監査・教育・是正・リスク対応などの各活動が、戦略的意思決定と接続された実効的マネジメントとして運用されているかどうかが重要な評価ポイントとなる。
(2)システムへの具体的な対策実装(NIST SP800-171および自工会/部工会・サイバーセキュリティガイドラインLv.3)
「自工会/部工会・サイバーセキュリティガイドライン」は、日本自動車工業会(自工会)と日本自動車部品工業会(部工会)が共同で定めたセキュリティガイドラインである。先進的な取り組みが国内でも評価されている。
五つ星企業は、単に「セキュリティ水準が高い」だけでは不十分。なぜその対策が必要で、どのようなプロセスで実装し、どのような成果が得られているのかを、利害関係者に対して説明可能な状態にしておくことが求められる。
既知の脅威に留まらず、将来的な変化や未知のリスクに対しても予測的に対応を講じる姿勢(プロアクティブネス)を備えていることが最大の特徴である。五つ星は単なる到達点ではなく、透明性と予見性に基づいた継続的な信頼の証明である。
『取引先から信頼される 日本発サイバーセキュリティ基準』では、サイバー攻撃の内容の巧妙化・複雑化する中で、日本企業に求められるセキュリティ対策を真正面から取り上げている。セキュリティ対策は決してITに閉じた課題ではなく、経営そのものである。この本を手に取っていただき、ぜひご自身の会社のセキュリティ対策を改めて考えていただきたい。
