【Bitsight解説】経済産業省が検討中の新たなサイバーセキュリティ評価制度：企業がサイバー防御を強化するための戦略｜ブログ(サイバー領域)

この記事はBitsightのブログを日本語に翻訳したものです。

原題：Navigating Japan METI’s Upcoming Cybersecurity Rating System: Strategies for Businesses to Enhance Cyber Defense
https://www.bitsight.com/blog/navigating-japan-metis-upcoming-cybersecurity-rating-system-strategies-businesses-enhance

経済産業省が導入を検討している新たなサイバーセキュリティ評価制度「サプライチェーン強化に向けたセキュリティ対策評価制度」を解説：企業がサイバー防御を強化するための戦略

2024年4月9日、日本の経済産業省は、2025年度までにサプライチェーン強化に向けたセキュリティ対策評価制度を導入する方針を発表しました。この提案は現在検討段階にあり、業界からのフィードバックをもとに今後調整が行われる可能性がありますが、制度の主要なポイントが以下の通り示されています。

経済産業省は、企業のサイバー防御対策を5段階で分類する制度を目指しています。この制度により、取引先が企業のサイバーセキュリティ対策の実施状況をより明確に把握できるようになります。この分類は、特にサプライチェーンの脆弱性を狙った攻撃への対応力を強化することを目的として、業界全体の対策能力向上を図るものです。

提案されている評価レベルの詳細

レベル１～２：
基本的な対策を対象としています。これには、定期的なソフトウェアの更新、機密情報へのアクセス制限、情報漏洩時の対応プロトコルの整備が含まれます。
レベル３～４：
サプライチェーン内の主要な役割を担う企業を対象としており、より高度な情報管理システムの導入が求められます。
レベル５：
最上位のレベルで、企業のサイバー防御能力について第三者認証が必要となります。

提案されている評価制度では、企業にサイバー防御の強化を促すとともに、取引先が企業のサイバーセキュリティ対策の準備状況をより適切に評価できるようにすることが期待されています。この制度の目指す成果は、業界の中核となる企業が高いサイバーセキュリティを求めることで、その影響がエコシステム全体に波及し、業界全体のセキュリティ成熟度が向上することです。

実際、低いサイバーセキュリティ評価は取引の抑制につながる可能性があり、企業の収益性に直接的な影響を及ぼすことも考えられます。要するに、信頼性のあるサイバーセキュリティ戦略を欠くことは、企業にとって戦略的なリスクとなり得ます。

この取り組みは、重要インフラやリスクの高い分野におけるサイバーセキュリティを強化するための、政府全体の幅広い施策の一環です。これは、米国の「サイバーセキュリティ成熟度モデル認証（CMMC）」に類似しており、防衛調達に影響を与える5段階の評価制度を採用している点が共通しています。しかし、日本のこの取り組みは、商業セクターにもその影響を広げることで、政府および企業双方による、より効果的なデューデリジェンスを可能にする点が特徴です。

課題と戦略的検討事項

日本企業が抱える技術的負債やサイバーセキュリティの遅れは、この新しい取り組みに対する初期段階での抵抗感を生む可能性があります。このような懸念を解消し、サイバーセキュリティの向上を加速させるために、政府や企業はそれぞれの状況に応じた戦略を検討する必要があります。その実施戦略の例は次のようになります。

現状評価と計画立案：
現在のパフォーマンスを把握し、戦略的な目標を明確にする最初のステップ。
ポリシー策定：
サイバーセキュリティ対策の指針となるガバナンスを構築する。
対策の実施：
必要なサイバーセキュリティ対策を導入する。
トレーニングと意識向上：
従業員に対するサイバーセキュリティの教育を行い、意識を高める。
モニタリングと対応：
システムを継続的にモニタリングし、セキュリティインシデントに対応する準備を整える。
レビューと監査：
サイバーセキュリティ対策の有効性を定期的に検証する。
改善：
サイバーセキュリティの実践を継続的に改善する。
第三者管理：
関連する第三者のセキュリティ体制を適切に管理する。

まずは「現状評価と計画立案」や「ポリシー策定」といった初期段階に注力することで、強固なサイバーセキュリティ体制の基盤を築くことが可能です。これにより、日本のビジネス全体でレジリエンスが向上することが期待されます。それでは、どのように始めるべきか考えてみましょう。

中規模から大規模の企業の多くは、既にサイバーセキュリティに関する取り組みを進めているものの、それを体系化して拡張するための明確なフレームワークが欠けていることがよくあります。外部のコンサルタントを雇う選択肢もありますが、必要な投資額が負担となる場合も少なくありません。その場合、社内でセキュリティの成熟度を高める方法を検討することが有効です。

最初のステップとして推奨されるのは、NISTのサイバーセキュリティフレームワーク（NIST CSF）のようなフレームワークを採用し、それを活用して現状を評価し、ニーズに合った目標プロファイルを策定することです。NIST CSFには、中小企業向けから業界特化型プロファイル、クラウドセキュリティプロファイルまで幅広い選択肢が用意されています。自社のビジネス環境に合ったセキュリティプロファイルを採用することで、セキュリティプログラムの成熟に伴い柔軟に成長できるようになります。

また、プロファイルを構築する際には、米国証券取引委員会（SEC）の最新の要件を確認することも重要です。特に、米国株式市場に上場している企業であれば、その要件が影響を及ぼす可能性があります。詳しく知りたい場合は、Bitsightのメンバーのブログをご覧ください。きっと参考になるはずです。

ビジネスのステークホルダーの視点を考慮することは不可欠です。政府主導の評価制度は直感的でわかりやすく、ビジネスを進める上で避けられない条件として認識される可能性があります。しかし、このような視点は、サイバーセキュリティやそのチームが提供する価値を損なう可能性があります。たとえば、投資対効果の可視化、リスクの軽減、優れたコーポレートガバナンスの証明といった具体的で測定可能なビジネス上の利益が軽視される恐れがあります。これらは明確に定量化された実用的な成果であるにもかかわらず、見過ごされやすく、その結果、サイバーセキュリティがコストセンターとして扱われ、最低限の予算しか割り当てられなくなるリスクがあります。

競合他社や業界の基準と比較して、サイバーセキュリティリスクのパフォーマンスを独立したリスク指標で視覚的にベンチマークすることは、意思決定者やステークホルダーの理解と関与を促進する重要な方法です。このようなアプローチを取ることで、サイバーセキュリティの価値がより明確になり、組織全体での支持と十分な投資が期待できます。これにより、いわゆる「普及の壁」を越えることができるでしょう。

こちらの経済産業省の新たなセキュリティ対策評価制度に関する記事も、ぜひご覧ください。