経産省、企業セキュリティ対策レベル5段階で格付け 04/1-04/07
一週間を始めるにあたって、押さえておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。
■経済産業省、企業のセキュリティ対策レベル、5段階で格付け
経済産業省は、企業のセキュリティ対策レベルを5段階で格付けする制度を2025年度にも始める政策案を公表しました。サプライチェーンを狙ったサイバー攻撃が増加傾向に有るなか、格付けによって取引先企業のセキュリティ対策レベルを確認できるといった効果も期待されています。
5段階のうちレベル1~3は企業が自社の対策状況を確認し、対策レベルを自ら宣言する形にする予定とのことです。このレベルでは企業に最低限求める対策とされており、ソフトウエアの定期バージョンアップや情報の管理体制の整備などが求められる見通しです。
レベル4~5はサプライチェーンで重要な役割を担う企業向けが想定されています。電気・水道といった社会インフラ関連を対象に含み、サイバー攻撃時の早期復旧策を設けているかといった複数の要素が基準になる見込みです。このレベルでは外部の認証団体から対応状況に関する第三者認証を受ける必要があるとされています。
サプライチェーンリスクの重要性が増す中で「格付け」は一定の指標になる期待はありますが、一方でセキュリティ対策を評価するフレームワークやガイドラインは既に多数存在し、世界的にはNISTのサイバーセキュリティフレームワークがデファクトスタンダードになっている現状があります。日本国内でも経済産業省自らが発行しているサイバーセキュリティ経営ガイドラインや、IPAのSECURITY ACTIONというセキュリティ対策レベルの自己宣言型の取り組みも既に存在します。どれか一つのガイドラインに準拠するだけでも企業側の負担は大きく、新設される「格付け」がこういった企業側の負担減も考慮されているかにも注目が集まりそうです。
■日本のセキュリティ人材の 74 %、2023年に昇給なし
ヘイズ・スペシャリスト・リクルートメント・ジャパン株式会社は「ヘイズグローバルサイバーセキュリティレポート」を発表しました。
同レポートによると、自社のニーズに合ったサイバーセキュリティ人材を採用できる自信があると回答した企業は、世界全体では39%のところ、日本はわずか23%に止まったとのこと。
また、日本のサイバーセキュリティ人材の74%が2023年に昇給はなかったと回答したのに対し、世界全体では44%であったとのことです。
■NIST、コミュニティベースのサイバーセキュリティ人材育成に360万ドルを授与
NISTは、サイバーセキュリティリスクから企業を守るために必要な人材育成を目的とし、サイバーセキュリティ人材不足に対処するために取り組んでいる教育およびコミュニティ組織に総額360万を寄付すると発表しました。
こういった寄付の背景にはセキュリティ人材の採用が難しいという事情があるためですが、2023年1月から2024年1月にかけて、米国では約45万件のサイバーセキュリティの求人募集があったものの、求人100件に対して82人しか採用できなかった、とのことです。
この取り組みへの期待としてNISTディレクターは「将来のサイバーセキュリティ人材の需給ギャップを埋めるだけでなく、米国人が高品質で高賃金の仕事を確保するために必要な訓練を受けることができる未来を創るのです。」とコメントしています。
サイバーセキュリティ人材の確保は米国だけでなく日本でも同様に深刻な状態です。前述したヘイズグローバルサイバーセキュリティレポートによれば、自社のニーズに合ったサイバーセキュリティ人材を採用できる自信があると回答した企業は日本は23%となっており、米国以上に深刻な状況であることが推測されます。
また、NISTは本取り組みにおける目標の一つに「米国人が高品質で高賃金の仕事を確保するために必要な訓練を受けることができる未来を創る」としていますが、これも前述のレポートからは日本は昇給にも積極的ではなく、労働者にとって「魅力的ではない職種」と写っている可能性も垣間見えます。
日本においても優秀なサイバーセキュリティ人材を確保するには、レガシーなIT設備を低賃金で面倒を見るだけの「キャリアアップに繋がらない」業務を与えるのではなく、「セキュリティ設備の近代化を通じてキャリアアップに繋がる」魅力的な業務を創出することが重要になると推測します。
★国内、海外における重要な注意喚起★
該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。
- Android Pixel の権限昇格の脆弱性
- Android Pixel の情報漏洩の脆弱性
・JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- 該当期間中の掲載はありませんでした。