近年、取引先や関連会社を「踏み台」にして本丸の企業を狙う、いわゆるサプライチェーン攻撃が急増し、わずかなセキュリティ上の綻びがサプライチェーン全体を麻痺させるような事態を招くというインシデントが少なからず発生している。
こうした事態を受け、経済産業省が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の運用がいよいよ始まろうとしている。これは企業のセキュリティ対策状況を「星」の数で可視化する、いわば企業の安全性の評価である。もはやセキュリティは内部的な安全・安心というだけでなく、ビジネスを継続する上で不可欠な取り組みとして、内外にきちんと対策状況を開示する必要に迫られているといえよう。
本稿では、この評価制度の概要と、これから企業がなすべき対策、そして、円滑な対策遂行のための信頼できるパートナー選びなどについて、丸紅I-DIGIOのデジタルソリューションセグメント デジタルプラットフォーム事業本部 ネットワークソリューション営業部 営業第二課 池添 翔および中村 圭翔の2人に話を聞いた。
セキュリティも「見える化」の時代へ! セキュリティレベルを「星」で評価し、サプライチェーン全体の連鎖被害を食い止める
――このほど、経済産業省の主導で、「サプライチェーン強化に向けたセキュリティ対策評価制度(以下、SCS評価制度)」の運用が開始されようとしています。この評価制度が創設・運用される背景・理由についてお教えください。
池添 この制度を皆さんに分かりやすくお伝えするなら、「レストランの評価を『星』の数で表現するように、企業のセキュリティ対策のレベルを、星の数で表現し、見える化する仕組み」だといえます。
これまで、ある企業がどの程度しっかりとセキュリティに取り組んでいるかというのは、外からは見えにくい状況でした。それを星の数で評価することで、誰の目にも「この企業は、こういうレベルでセキュリティ対策をとっているのだ」ということが一目で分かるようにしようというのが、この制度の狙いです。
なぜ今、こうした評価制度を作るのかといえば、それは、いわゆる「サプライチェーン攻撃」が、無視できないレベルで増えているからです。最近でも、ある給食委託業者のシステムが攻撃されたことで、そこと取引している病院のネットワークに入り込まれて、電子カルテが使えなくなりました。また、部品などの仕入先が被害を受けたことで、そこと取引のある大手自動車メーカーの全工場がストップするといったインシデントもありました。攻撃者は、守りの堅い大企業を直接狙うのではなく、その取引先である中小企業を「裏口」として狙ってきます。そのため、日本全体の経済を守るためには、個々の企業の努力に任せるだけでなく、統一された「共通の物差し」を作って、サプライチェーン全体のセキュリティレベルの底上げを図る必要性に迫られているのです。
求められる役割に応じた評価の取得と、継続的な改善サイクルの実施が不可欠
――SCS評価制度がどのような制度なのか、また、企業としてどのような対応が必要になるのかをご教示ください。
池添 SCS評価制度は、サプライチェーンにおけるその企業の役割や重要度に応じて、求められる対策水準を満たしているかどうかを、「認定された民間審査機関」や「有資格者(情報処理安全確保支援士など)」が、実際に企業の現場や書類を確認し、「★3」から「★5」の3段階で評価・公表する仕組みです。これによって、発注元は「この会社なら安心して仕事を任せられる」と判断できますし、受注側も自社の信頼性を客観的に証明できるようになります。ちなみに、★1と★2は、SCS評価制度とは別の仕組み(Security Action)で、企業自身がチェックリストに基づいて「できています」と宣言し、IPA(情報処理推進機構)などの登録機関に申請するというものです。★3以上の評価に比べると対応内容・信頼性は低いといわざるを得ません。
企業がSCS評価制度に対応するためには、大きく4つのステップを踏む必要があります。ステップ1は「ギャップ分析」です。まずは国が公開するガイドライン(評価基準)を使って自社の状況を自己採点します。これによって、自社の弱点を明確にします。
ステップ2は「体制整備とルールの文書化」です。企業のセキュリティ対策の中には「なんとなくやっている」という部分もありがちですが、そうした部分を明文化する必要があり、中小企業にとっては大きな壁になるかもしれません。しかし、ここを整備しないと★3以上の審査には通らないのです。
続くステップ3は、「証拠(エビデンス)の整理」で、最新のネットワーク構成図やPCの更新プログラム適用履歴(ログ)、緊急連絡網のリストなどを「いつでも出せる状態」に整備することが求められます。
そして最後のステップ4は、「申請と維持(PDCA)」で、審査機関に申請をして、認定を受ける段階です。ただ注意したいのは、1回申請して終わりではなく、定期的な対策の見直し、更新審査を受け続けるといった運用が必要です。そもそも、認定には有効期限が設けられる予定になっているようです。
目指すは「★4(四つ星)」、まずはしっかりと「★3(三つ星)」を取得するところからスタート
――SCS評価制度の評価の仕組み、各評価段階のセキュリティレベルのイメージをお教えください。
池添 評価のランクについては、段階ごとにハードルが明確に分かれています。まず「★3(三つ星)」ですが、これはすべてのサプライチェーン企業が最低限クリアすべき「基本水準」という位置付けで、ベーシックなレベルであるということです。基礎的なシステム防御や社内の体制が整っているかを、専門家による確認付きの自己評価で判定します。まずはここがスタートラインになります。取引する上での最低限のセキュリティをクリアしているという意味で「取引パスポート」となるレベルです。
その上の「★4(四つ星)」は、業界をリードするような大企業や、サプライチェーンの中でも特に重要な役割を担う企業が目指すべき高度レベルのものです。ここでは単に守るだけでなく、侵入されたことを即座に見付ける「検知」や、その後の「対処」といった高度な能力が求められます。「★5(五つ星)」については未定の部分もありますが、主に電気、鉄道などの重要インフラ関連の企業、サプライチェーンの結びつきが強い大企業に求められるレベルとされていますので、一般企業の場合は「★4(四つ星)」までを目指すべきといえます。
単なる防御から「検知・対処」のフェーズへ。評価アップのカギは、組織のガバナンスと客観的な「証跡」の管理
――評価段階をアップするためには、どのような対応が必要になるのでしょうか。
池添 評価のステップを上げるためには、まず「自分たちに何が足りないのか」という現状とのギャップを正確に把握することから始めなくてはなりません。特に、★3から★4へのステップアップを目指す場合には、求められる対策の質が大きく変わります。これまでは「壁を高くしてウイルスを入れない」という防御が中心でしたが、これからは「入られることを前提に、いかに早く見付けて追い出すか」という、組織としてのガバナンスや復旧の能力が重要になってきます。
具体的には、高度なセキュリティ製品を導入するだけでなく、24時間365日体制で異常を監視し、何かあった時に即座に動ける運用体制を整えることが必須となります。また、評価を受ける際には「ちゃんと対策をやっています」という口頭の説明だけでは通りません。それを裏付けるためのログなどのエビデンスが適切に残されているか、そしてそれがいつでも提示できる状態にあることも必要です。技術的な対策と、それを支える組織的な運用の両方を、一段高いレベルに引き上げていく必要があるのです。
感染を広げない「ネットワーク・セグメンテーション」と「通信の監視」が、★4へのレベルアップには不可欠
――評価段階をアップする上で、とりわけ強固なネットワーク基盤の構築が重要とのことですが、ネットワークに関する対策について詳しくお教えください。
中村 SCS評価制度において、ネットワーク対策の考え方は大きく変わりつつあります。これまでは企業の内と外を分ける「境界線」を守ればよかったのですが、今は「ネットワークを細かく分断し、可視化する」ことが非常に重視されています。まさに「城壁(境界防御)」から「区画整理と検問(ゼロトラスト)」への移行を意味します。もし1台のPCが感染してしまっても、ネットワークを論理的に切り離していれば、他の重要なシステムにまで被害が広がるのを防げるからです。
★3レベルでは、「外は危険、中は安全」という考え方で、外周(ファイアウォール)を固めるのが基本となります。しかし、★4以上では「内部も危険(侵入されているかもしれない)」という前提に立ち、「被害を広げない構造(ネットワーク・セグメンテーション)」と「通信の監視」が必要になります。
社内ネットワークを「サーバー」「PC」「プリンター」など細かく区切ることで、万が一どこかのPCで感染が起きても、サーバーへの侵入を防ぐことができるようになります。
また、「許可された端末」以外は、一切通信させない仕組みとしてのNAC(ネットワークアクセス制御)の導入や、社内からインターネットへ出る通信をチェックするSWG(セキュアWebゲートウェイ)などの対策も有効です。通信をきちんと監視することも重要なポイントとなります。
★3から★4を目指す上では、社内ネットワークをフラットにしないことがとても重要です。ワンルームでは1度侵入されたら全滅になりますが、多くの部屋に分けていれば、被害を最小限に防ぐことができます。ネットワーク・セグメンテーションは、ネットワーク基盤強化の第一歩といえるでしょう。
セキュリティ製品の導入だけでは不十分! 監査に認められる「証拠」の知識と、24時間体制の「運用」まで任せられるか
――SCS評価制度に適切に対応していく上では、パートナー選びが重要だと思います。パートナー選びにおいて重視すべきポイントなどをお教えください。
中村 この評価制度への対応は、単に「セキュリティ製品を導入する」のとはわけが違います。「監査や評価に耐えうる体制を作る」という視点が必要です。そのため、パートナーを選ぶ際は3つのポイントをチェックする必要があります。
1つ目は、「製品導入」だけでなく「認定支援(ドキュメント化)」ができるかどうかです。すでに触れた通り、★3を目指す際、大きな壁になるのは「証拠(エビデンス)の整備」です。そのため、経産省のガイドラインやNIST CSF(Cybersecurity Framework)を理解しており、「この製品のこのログが、評価基準の項番XXの証拠になります」と紐付けて説明できるサポート力があるかどうかは重要です。
2つ目は、導入後の「運用」まで任せられるかどうかです。★4以上を目指すなら24時間の監視は避けて通れませんが、自社で専門家を雇うのは現実的ではありません。そのため、その部分を代行してくれるサービスをもっているかどうかはパートナー選びの重要ポイントになります。
そして3つ目は、ネットワークから端末(エンドポイント)までを、ワンストップで見られるかどうかです。評価を上げるには「強固なネットワーク基盤(ゼロトラスト/セグメンテーション)」と「端末の防御(EDR等)」の両輪が不可欠です。
また注意点として、ネットワークはA社、PCはB社というように導入事業者がバラバラだと、いざトラブルが起きた時に守備範囲があいまいになりがちで、対応が遅れてしまいます。そのため、インフラ全体を丸ごと任せられる信頼できるパートナーを選んで、ワンストップで任せる方が有効だということになります。
丸紅I-DIGIOは「星」獲得の頼れる伴走者。高度なインフラ構築からSOC(Security Operation Center)監視まで、サプライチェーンをつなぐ総合力
――お話にあったような、パートナーの選定ポイントなども踏まえて、SCS評価制度対応に関しての丸紅I-DIGIOのもつソリューションや、支援、サポートサービス、また競合と比較した際の優位性ポイントなどについてお教えください。
中村 私たちは、単に製品を売るだけではありません。お客様が「星」を獲得し、それを何年も維持し続けられるように、ずっと隣で支え続ける「伴走者」でありたいと考えています。
★3では、現状把握アセスメントから文書化・証跡整理の伴走、ネットワーク(Extreme Networks等)の基本設計/構築までをトータルでサポートし、「取引先に説明できる状態」作りを強力に支援します。
また★4では、端末とネットワークのログ可視化、セグメンテーション(ネットワークの区画分け)の強化、MFAやEDRなどの導入に加え、運用とインシデント対応までを一連で設計できる点が、私たちの強みだと自負しています。
池添 私たち丸紅I-DIGIOグループは、Extreme Networksを中核とした強固なネットワーク基盤に、可視化・検知・対処・運用までを重ね合わせ、「つながるすべて」を継続的に守る仕組みとして提供することが可能です。
――評価取得はゴールではない。むしろサプライチェーン全体の信頼を高める取り組みのスタートラインだと捉えるべきだろう。そのため、SCS評価制度への対応を継続的なものとするためにも、伴走パートナー選びは重要だ。SCS評価制度への対応を始めるなら、ワンストップでのトータルサポートが可能なパートナーを選ぶべきだろう。
