NISCに聞く「サイバーセキュリティ対策」、事例と行動計画で読み解く“組織対応”とは

近年、自組織のみならずサプライチェーンを含めたリスク管理が重要となっている。政府は、重要インフラ事業者等に対して、組織統治やサプライチェーン・リスクマネジメント等、将来の環境変化を先取りした包括的なセキュリティ対応を求めている。本稿では、最新のインシデント事例と、重要インフラ事業者に向けて政府が策定した行動計画を基に、組織に求められるセキュリティ対策について、内閣サイバーセキュリティセンター重要インフラグループ内閣参事官紺野博行氏に話を聞く。

多様化・組織化するサイバー犯罪

　IPAが毎年公開している「情報セキュリティ重大脅威」では、研究者や企業の実務担当者が審議を行い、個人・組織別に脅威がランキングされている。2023年度は前年度と変わらず、個人は「個人情報等の搾取」、組織は「ランサムウェアによる被害」がそれぞれ1位だった。

　ここで、特に組織のランサムウェアによる被害や、サプライチェーン攻撃に注目したい。攻撃者は、大手企業を狙う際、まずは対策が進んでない中小企業を攻撃する。大手自動車企業の子会社を標的としたサプライチェーン攻撃もその１つだ。紺野氏はサイバー犯罪の現状について次のように指摘する。

「サイバーセキュリティに関する脅威は、年々変動しています。脅威の動向について、注視する必要があります」（紺野氏）

　また、警察庁による「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2022年の国内のサイバー犯罪の検挙数は過去最多の12,369件だった。

　それに伴い、内閣サイバーセキュリティセンター（NISC）は金融庁や警察庁と連携し、国家の関与が疑われるサイバー攻撃に対する注意喚起文書を出している。「国家を背景としたサイバー攻撃も活動が活発になっています」と紺野氏は語る。

　次章以降では、サプライチェーンに内在するリスクや重要インフラで発生したインシデント事例、それらを対象としたサイバーセキュリティに対する政府の取り組みについて紹介する。

この記事の続き＞＞