経産省は企業のサイバー対策を5段階で格付けする制度を2025年にも開始する政策案を公表しました。
今回はこの制度の現時点における概要・影響を考察します。
【概要】
・経産省が主催するサイバーセキュリティ研究会は令和6年4月5日に第8回研究会を開催し、その中で企業における対策状況の可視化について、検討された
・具体的には、企業のサイバー対策レベルを5段階で評価。レベル1~3は自己宣言型であるものの、レベル4~5は第三者認証型とする案が提示されている
・特にレベル5については、経済安全保障推進法でも言及されている電気・水道事業者を含む「重要インフラ事業者」等が含まれ、より高度な対策が求められることが想定される
【期待効果】
①安全な企業の選定
・昨今、企業のサプライチェーンに対するサイバー攻撃の影響が危惧されている中で、サイバー対策のレベルを可視化することで、発注側の企業・一般ユーザはより安全な企業を選ぶことが可能
②業界横断的な対策基準の策定による企業の対応工数削減
・現在、企業では「異なる取引先から様々な対策基準を求められる」という状況が発生している。当該制度で各レベルを達成するための対策基準を一元的に取り纏めることで、そのような状況を回避が可能
※研究会の検討資料ではIPA(独立行政法人 情報しょる推進機構)が取りまとめる案が提示
③政府調達・補助施策等への活用
・当該制度で一定程度のレベルを得ることを政府調達や補助金の要件とすることも検討されている模様
【懸念】
対応する企業側の対応負荷
・NIST SPシリーズやIPAが公表するガイドライン等、現時点でも様々なセキュリティガイドラインが存在する中、新たに企業が対応すべき対策基準が提示されることで、企業としては新たな対応工数が必要となる
対策基準の具体性の欠如
・これまで政府が公表するセキュリティガイドラインでは表現が抽象的なため、対応する企業としては実際の行動につなげるのは難しいことがあった
・今回の対策基準では企業側が具体的に何を行うべきなのか、具体性を伴った内容であることが期待される
【まとめ】
・今回ご紹介した制度と並行して、政府はセキュリティ人材を2030年までに2倍にする目標も立てており、セキュリティ対策に力を入れる姿勢を見せています
・当該制度は今後具体化されていくと思われるため、引き続き注視が必要となりそうです
(出典)
・経産省「第8回 産業サイバーセキュリティ研究会 事務局説明資料」
・日本経済新聞「企業のサイバー対応力、5段階で格付け 経産省案を提示」