Download PDF -
IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
あらゆる分野でデジタルトランスフォーメーション(DX)が進む昨今、デジタル技術の革新スピードはより一層速まっています。また地政学的な緊張が高まる中、各国・地域の規制やルールも目まぐるしく変わり続けています。
サイバー攻撃においても、攻撃者は最新技術を巧妙に採り入れ、攻撃手法は日々刻々と進化しています。このような状況下で企業は脅威をタイムリーに捉え、的確に対処することが求められています。
本レポートでは、各国の法規制、生成AI、サプライチェーン、脆弱性管理など、特に変化の激しい分野に関して、潜在的なリスクや企業に求められる対応を考察しました。本レポートから得られるサイバーインテリジェンスが、日本企業の皆さまがセキュリティ対策を講じる上での一助となれば幸いです。
2024年 Cyber IQ調査の一部を抜粋してご紹介します。全文は以下よりPDFをダウンロードしてご覧ください。
サイバーセキュリティの新潮流と日本企業が築くべき防波堤とは
- 経済安全保障推進法とサイバーセキュリティ対策
- 生成AIによって変わるサイバー攻撃と防御
- 今、求められる製品セキュリティ品質とは
- 脆弱性対応プロセスのトレンドと変化の必要性
経済安全保障推進法とサイバーセキュリティ対策
クラウド利用に代表されるように、サプライチェーンのデジタル化やグローバル化はとどまることを知らず、重要基幹インフラの導入や維持管理には、ますます多くの企業が関与していくことが予想されます。昨今のサイバーインシデント事例からも推察されるとおり、当該企業に対して直接的な攻撃が行われることもあれば、サプライチェーンを構成する事業者に対して攻撃が行われることもあります。重要基幹インフラの導入や維持管理においては、サプライチェーン全体で実効性のあるリスク管理措置を行い、特定社会基盤事業者としての説明責任を果たすことが重要となります。
デジタル化が生む「トラストギャップ(信頼の空白域)」を埋めるには
デジタルの技術革新のスピードは一段と速まり、各国・地域の規制やルールも目まぐるしく変わり続けています。最新技術を巧妙に採り入れ、規制の穴を狙うサイバー脅威をきちんと分析して適切に対処するには、ガイドラインに沿った態勢を整えるだけでは万全とはなり得ません。自社のインテリジェンスを高め、さまざまなリスクを検知して事前に危機の芽を摘む能動的な備えを築くことが重要になっています。
激変するビジネス環境に真正面から対峙するには、まずはITやセキュリティ部門が各事業をきちんと理解し、ビジネスに合ったセキュリティ基盤を構築すること。さらに、事業部門もサイバーセキュリティやデジタル技術を「自分ごと」として捉えること。そして、両部門が目線を合わせてセキュリティレベルの底上げに取り組むことが、デジタル時代の経営のレジリエンス(強靭性)を保つことにつながると考えられます。
デジタル化に伴うリスクと機会を自社の成長につなげるには、全てのステークホルダーに対して自社の人材やサービス、企業統治などへの信頼を得ることが不可欠です。ステークホルダーが抱く「トラストギャップ(信頼の空白域)」をいかに埋められるかが、非連続な時代における企業の強靭性と成長力を高める源泉になると考えられます。
事業継続の判断軸を「自社視点」から「顧客視点」に変える
従来、セキュリティの高度なノウハウが必要なのは、ITや保守など一部の専門部署に限られていました。DXが進むにつれ、今では事業部門もAIやクラウドなどの使い手となり、セキュリティサービスの行き先を社内にとどめる時代は過ぎました。事業部門もデジタルサービスのセキュリティ上の脅威を意識して、適切な体制のもとでサービスを提供することが求められつつあります。
サイバー脅威をはじめ、複数のリスクが同時多発的に起き得る非連続な時代では、自社の視点に縛られていては事業継続の判断基準を見誤りかねません。重要なのは「顧客視点」でサービスを高品質に維持することです。自社のサービスの利用者が何人いて、各サービスはどの程度利用者にとって重要なものなのか、サービスを提供できない場合に代替の手段はあるのか、といった分析をもとに事業の強靭性を担保する必要性が高まっています。
「ゼロトラスト」でセキュリティレベルを上げる
守備の網の目を小さくするには、内部と外部のシステムの境界を無くし、守るべき情報にアクセスしようとするものを1つ1つチェックする「マンツーマンディフェンス」に切り替えることです。内部も外部も関係なく、全ての通信を何も信頼しないことを前提に検証と分析を重ねる「ゼロトラスト」の概念に基づいたセキュリティモデルの構築こそ、脅威を増すサイバーリスクを減らすカギになります。信頼を置かないことを前提とするセキュリティの積み重ねが、ステークホルダーの信頼を得る近道と言えます。
ゼロトラストによるマンツーマンディフェンスを敷く場合、重要なのはアクセス元をきちんと識別する手段を確保することです。身元を確認する、本人によって使われているかを判定する、アクセスを許可または制御する、アクセス履歴を収集・分析し、異常が起きていないかを判定する。これらの一連のセキュリティ網を整えるために必要なのが「デジタルアイデンティティ」です。Identity-based perimeterなどと呼ばれる、デジタルアイデンティティを新しい境界とする考え方が今、広がりつつあります。
「トラストギャップ(信頼の空白域)」を埋める詳しいアプローチはPDFをご参照ください。
2024年 Cyber IQ調査 ― デジタル化が生む「トラストギャップ(信頼の空白域)」を埋めるには―
インサイト/ニュース
20 results
Loading...
Download PDF -
ISMAP管理策評価の自動化に向けた洞察―NIST IR 8011 v1r1ドラフトを踏まえて
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
Download PDF -
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応【第4回】ガイドライン及びQ&Aの公表
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
Download PDF -
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
Loading...
