◆国際的観点から急務に/人材育成や意識喚起を
◇奥家敏和氏(経済産業省商務情報政策局サイバーセキュリティ課長)
サイバー攻撃の脅威は、ホリゾンタル(水平方向)とバーチカル(垂直方向)という2つの観点で明らかに増大している。水平方向ではIoT機器の増加に伴い、攻撃の起点が拡大した。社内だけでなく、サプライチェーンを通じて取引先から感染するリスクもある。垂直方向ではサイバー攻撃のレベルが上がり、IT系だけでなく制御系のシステムまで影響が及んでいる。
しかし、日本では欧米に比べ、サイバーセキュリティーの意思決定に対する経営層の関与やCSIRTのような体制の整備、投資額も十分ではない。
国際的な動きを見ると、欧米では取引先を含むサプライチェーンのサイバーセキュリティー対策を推進している。要件を満たさない事業者や製品、サービスは国際的なサプライチェーンから除外される恐れがある。
こうした状況を踏まえた政策の方向性として、まず重要インフラの情報共有体制を強化していく。産業分野ごとにサプライチェーン上のサイバーリスクを洗い出し、中小企業のサポートも徹底する。日米欧間の相互承認など国際協調やサービスの充実、経営の意識喚起、人材育成も課題となる。
重要インフラのサイバーセキュリティーについては、情報処理推進機構(IPA)を中心にリスク評価を進めてきた。その結果を基に17年10月、資産ベースと事業被害ベースのリスク分析ガイドを公表している。分野別の内容は別冊にまとめており、そちらも活用してほしい。
個々の企業がIPAに寄せたサイバー攻撃などの情報を分析し、業界内で共有する体制(J―CSIP)も強化している。高度な攻撃を受けた企業に対しては、初動対応を支援するJ―CRAT(サイバーレスキュー隊)もある。
人材育成については17年4月、IPAに産業サイバーセキュリティセンターを設置した。IT系と制御系、両方のシステムに詳しいプロを育てている。海外の専門家を講師に招き、長期・短期の講習も行っている。関心があればアプローチしてみてほしい。
