情報が抜かれた、業務システムが止まってしまった、データが拉致され身代金を要求された・・・と、サイバー被害の報道は日常茶飯事になりつつある。サイバーセキュリティ(対策)の基本は、ITガバナンスとサイバー公衆衛生であり、これが出来ていればかなりの攻撃は防ぐことができる。しかし自社だけ頑張っても、取引先経由で攻撃を受けたり、取引先が事業停止して巻き添えを食ったりするリスクは常にある。
納入業者を「このくらいの対策をしないと、再来年の発注はないよ」と脅すのでは、公正取引委員会が乗り出してくるかもしれない。できれば穏便に、取引先企業のサイバーセキュリティの成熟度を知りたいものだ。
重要インフラに指定されていたり、リスクが高いと思っている企業は、ペネトレーションテスト(*1)を受けるなどして成熟度を計っている。しかし一般人それを外部に見せることはしない。
また仮に見せてもらえたとしても、複数の企業が同じ基準で評価しているわけではないから、取引先選定の比較検討はできない。企業のセキュリティ対策の(ある程度同一基準による)見える化は、ずっと課題だった。現状日本では、経産省&IPAの「Security Action」という自己宣言(*2)だけがある。
英国には「エッセンシャル」という制度があり、2段階で上位を得るためには外部評価を受ける必要がある。経産省は昨年から「Security Action」が1ツ星と2ツ星であるから、新しいセキュリティ対策評価制度の検討に着手している。その中間とりまとめが今年4月に出て、当面3ツ星(自己評価)、4ツ星(外部評価)を与える制度の骨格が見えた(*4)。
これなら取引先選定の参考になる。加えて、株式市場での企業評価にも反映されれば、かねて私が求めていた「サイバーセキュリティに投資すれば株価が上がる」という好循環も期待できる。もちろん多様な業種があり、個社には個社の事情があるので、どこまで標準化した評価ができるかは不透明だ。それでも、見えないものの代表格であるサイバーセキュリティの見える化が一歩進むことは間違いなかろう。
*1:外部からの模擬攻撃
*2:SECURITY ACTIONとは? : SECURITY ACTION セキュリティ対策自己宣言
