ビジネス化するサイバー攻撃……求められる対策レベルを見極めよサプライチェーン全体で
経営リスクを回避せよ！

適切なセキュリティー対策が求められる昨今。経営者にはサイバー攻撃を明確なリスクとして捉え、経営課題として向き合うことが求められている。しかし、セキュリティー対策はどの程度まで対応すべきなのか？ インターネットイニシアティブは、経済産業省の評価制度などを参考にした独自の取り組みで対策を支援している。

現在のサイバー攻撃は、あらゆる企業が標的に

サイバー攻撃は近年、大きなビジネスインパクトを与える重大な経営リスクとなった。そのため、サイバー攻撃から自社を守るためには「セキュリティー対策を経営課題として考えていく必要があります」とインターネットイニシアティブ（IIJ）の堀見氏は指摘する。サイバー攻撃による経営リスクには「企業活動の停止」「機密情報の流出」「財務的な損失」「顧客信頼の低下」の4つが挙がる。これらの対策を怠れば「経営者も法的責任を問われる可能性があります」と堀見氏は警鐘を鳴らす。

従来と現在のサイバー攻撃を比べてみると、その目的やターゲットも変わっている。例えば、一昔前は「情報詐取／愉快犯」が目的で「特定の企業や組織」をターゲットとする攻撃が主流だった。そのため、自社に重要な情報がなければ「積極的にセキュリティー対策を行わない経営者も少なからずいました」と堀見氏は振り返る。

しかし、現在はサイバー攻撃のビジネス化が進む。「金銭目的であらゆる企業がターゲットになっています」（堀見氏）。加えて攻撃自体が凶悪化。情報を盗むだけにとどまらず、ランサムウエアで重要なシステムを暗号化して業務停止に追い込むばかりか、バックアップまで破壊。復旧できない状況にして盗み出した情報とともに「二重恐喝をする」など、あらゆる手段で脅して金銭を要求するようになっている。堀見氏は「セキュリティー対策が不十分な企業は、重要な情報の有無にかかわらず、どんな業種・業態であっても狙われるリスクが高くなっています」と警告する。

加えて近年は多くの企業が、複数の取引先とつながりを持ちながら商品やサービスを提供するようになった。セキュリティー対策は、自社だけの問題ではなくなってきた。サイバー攻撃による被害が場合によってはサプライチェーン全体にも波及していくと堀見氏は指摘する。

例えば自社のセキュリティー対策が進んでいても、対策が不十分な取引先から巻き込まれるといったケースが考えられる。逆に自社の対策が十分でなければ、他社に被害を広げてしまう恐れもあるだろう。このように、対策を怠ると「被害者にも加害者にもなりえてしまう」ことから、堀見氏は「セキュリティー対策を経営リスクと認識した上で、サプライチェーン全体で考えていく必要があります」と訴える。

脅威を把握し、評価制度を参考に対策を行う

それでは、どのようにセキュリティー対策を考えていくべきか。堀見氏は「自社に求められるセキュリティー対策を見極めた上で、優先度の高い対策から実現することが重要になります」と説く。キーワードは「いま迫る脅威」と「目指すべき指標」の2つだ。

1つ目の「いま迫る脅威」について、ポイントとなるのは攻撃者とユーザーの間にある知識のギャップである。攻撃者は常にユーザーの弱点を突いてくることから、ユーザー側には最新の攻撃トレンドの把握が求められる。ただし、情報収集やその分析には多大な労力がかかる。IIJはそこで、脅威トレンドの情報を発信してユーザーをサポートしている。

対策範囲の広がりによって「何をどこまでするべきか」の判断も難しくなった。IIJでは対策のアプローチとして2つ目の「目指すべき指標」の活用を推奨している。そこで参考となる外部指標として、堀見氏は経済産業省が検討を進めている「サプライチェーン強化に向けたセキュリティ対策評価制度」を挙げる。この評価制度では、企業の対策レベルを5段階で設定。★1、★2は「SECURITY ACTION」を指す。「セキュリティ対策評価制度」に該当するのは★3、★4、★5の3つだ。

各レベルで想定される“脅威”を見てみよう。★3では「広く認知された脆弱性等を悪用する一般的なサイバー攻撃」を想定する。ネットワーク機器やサーバーなどにおける狙われやすい脆弱性への対処が求められることになる。★4では「供給停止等により、サプライチェーンに大きな影響をもたらす企業への攻撃」を想定。情報漏えいやサプライチェーン自体の対策が必要となる。そして、★5は「未知の攻撃も含めた高度なサイバー攻撃」を想定する。

同制度は「安心できる取引先の構築に向けた活用が想定されています」と堀見氏は補足する。これまでは各社でバラバラだった指標を統一化することで、対策状況を一律で判断できるようになった。信頼できる取引先の見極めも容易に。そのため堀見氏は「取引先に同様の指標を求める企業も出てくるでしょう」と予想する。

無料のワークショップで企業をサポート

同制度の開始予定は2026年10月と少し先だ。しかし「事前に準備を進めたい」という声もあることから、IIJでは同制度の要求事項案や他の制度も参考に、「自社が目指すべきレベルの把握」に対応できる独自の指標を作成した。内容は情報のアップデートに応じ、タイムリーに更新している。

IIJの独自指標（2025年4月時点）は、★1～5の5段階でレベル分けしており、★の数に比例して対策レベルが上がる。例えば、★1と★2は中小企業やこれから対策を始める企業向けだ。★1は「ITを利用するすべての企業や小規模事業者」、★2は「ITを利用するすべての中小企業」が対象となる。

★3～5はサプライチェーンに属している企業向けとなる。★3は「サプライチェーンに属しているすべての企業」、★4は「サプライチェーンの中核企業」が対象だ。ここでいう「中核企業」とは、業務停止などによる影響が大きい企業を指す。最後の★5は「サプライチェーンに属しているすべての企業の到達点」となり、「まずは、自社が該当するレベルの対策を実現してほしいと考えています」と堀見氏。

しかし、未知の脅威などに対しては網羅的な対策が必要となる。「まずは自社がどのレベルまでを満たしているのか、またどのレベルを目指すべきかを確認し、必要な対策を優先度の高い内容から実現していくことが重要です」と堀見氏は付け加えた。

とはいえ脅威トレンドの収集や指標を基づく対策の検討などを、自社だけで行うのは簡単ではない。そこでIIJは、ユーザーの課題に基づくセキュリティー対策全体の見直しをワークショップ形式で一緒に考えていく無料プログラム「IIJ Sketch ＆ Draw Workshop」を提供中。いわばセカンドオピニオンのような「第三者目線での見直し」にも対応する。

このプログラムでは、IIJに所属するスペシャリストが参加企業の現状を深掘りし、セキュリティーの穴になりそうな点や脆弱な構成などの課題を抽出する。次に「どこを守るべきか」を考えるために、「いま迫る脅威」の概要をIIJのナレッジを基に提示。最後にフィードバックとして、参加企業が目指すべきゴールを現時点の全体像から構築し、ディスカッションしながらフィードバックを行っていく。

堀見氏は「セキュリティー対策を自社だけで進めるのは難しいケースも多いです。IIJ Sketch ＆ Draw Workshopなどの取り組みを通じて、それぞれに求められる対策や目指すべきゴール、ロードマップの構築を二人三脚でサポートしていきます」と語った。