情報セキュリティ

「中小企業を含むサプライチェーンにおける情報セキュリティ対策状況等の調査」報告書について

最終更新日:2022年5月25日

独立行政法人 情報処理推進機構
セキュリティセンター

報告書の概要

企業や組織を狙うサイバー攻撃が日常的に発生するなか、昨今では情報セキュリティ対策が強固な大企業ではなく、同一のサプライチェーンを構成する中小企業等の取引先を経由して目的企業を攻撃する事例も報じられています。
このような背景のもとで、IPAが事務局を務める「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」の「中小企業対策強化WG」においても、サプライチェーンを構成する中小企業におけるセキュリティ対策強化を目的に「各業界のセキュリティ対策取り組み共有」「発注元企業として取り組むべき課題」等についての議論が開始されているところです。
そこで、「SC3中小企業対策強化WG」におけるこれら議論に供するとともに、今後の中小企業を含むサプライチェーン全体でのサイバーセキュリティ対策促進に向けた施策の検討に用いることを目的として、中小企業を含むサプライチェーンを構成する各業界において、どのような情報セキュリティ対策・取組が採られており、どのような課題に直面しているのか、ヒアリング調査を通じて情報収集する「中小企業を含むサプライチェーンにおける情報セキュリティ対策状況等の調査」を実施しました。
主な調査結果は以下のとおりです。

調査概要

調査方法

ヒアリング調査(リモート形式)

調査対象

SC3会員を中心とした業界団体(及び発注元企業)

調査件数

11業界(発注元企業:延べ18社)

調査時期

2021年10月~2022年1月

調査実施者

株式会社三菱総合研究所

調査内容

  1. 各業界における情報セキュリティガイドライン(情報セキュリティに関する基本ルール)の有無、またその内容、参考とした基準、ガイドライン、フレームワーク等
  2. 各業界における情報セキュリティ対策強化に向けた取組の有無、またその内容
  3. 事故(インシデント)が発生した場合の各業界における報告等の有無、インシデント対応規程の有無、またその内容
  4. 業界横断的に情報共有が望まれる内容、及び方法
  5. 発注元企業の情報セキュリティ対策の取組
  6. 取引先選定に関する問題意識
  7. 契約締結に関する問題意識
  8. セキュリティ対策の実施状況の把握に関する問題意識
  9. 再委託に関する問題意識
  10. 既存の取組・制度の認知度、活用可能性

調査対象

ヒアリング調査対象としてSC3会員を中心に11分野の業界団体・ISAC(Information Sharing and Analysis Center:情報共有組織)等の団体にヒアリングを実施しました。団体へのヒアリングの中で、個別の発注元企業の立場からも意見を収集しました。
調査団体:製造3分野、インフラ3分野に加えて、防衛、情報通信、金融、製薬、運輸の1分野

調査結果ポイント

本ヒアリング調査を通じて明らかとなった各業界における主な情報セキュリティ対策に関する取組内容等は以下のとおりです。詳細な内容・分析等については報告書をご参照ください。

1. 各業界におけるセキュリティ対策の取組状況

取組状況

  • 調査した多くの業界では、業界としてのセキュリティガイドラインを策定。
  • 業界団体として業界別ガイドラインをベースに、業界内のサプライチェーンに属するすべての企業に対してガイドラインの実施状況を把握するための取組を実施。
  • 業界内でサイバーセキュリティに取り組むためのワーキング・グループ(WG)を立ち上げ、各種ガイドラインやセキュリティ対策推進に資する啓発コンテンツ等を作成し、会員内で共有。
  • 定期的に情報セキュリティに関する勉強会や情報共有を実施。
  • セキュリティ対策強化に向けてインシデント発生時の報告訓練等の機会を提供。
  • 会員企業を対象にサイバーセキュリティ対策状況の評価を実施。

2. 各業界におけるインシデント対応の取組状況

取組状況

  • 業界としてインデントに関する情報共有を実施する枠組み(監督省庁や業界団体への報告など)を設けている。
  • 自主的に脆弱性情報やインシデントに関する情報共有を実施
  • インシデント発生企業が対応に困っている場合にはサポートを実施し、質問があれば個別に対応するような共助の取組を実施。
  • 団体として、インシデント対応に関するガイドラインを策定している。
  • 業界内で情報共有を行うにあたっては、共有範囲をTLP(Traffic Light Protocol:機密情報をいつ、どのように共有するべきかを示した仕組みや基準)で定めて実施。
  • 各企業単位でインシデント対応規定を策定、実施。

3. 業界横断的に情報共有が望まれる内容

業界横断的に情報共有が望まれる内容

  • 業界に関わらず、インシデント情報やインシデントへの対処方法などが共有されると参考となる。
  • 各国の法規制・国際規格への対応等、業界横断的に共通認識を持つのは有効と考えられる。
  • サプライチェーンのセキュリティ確保に関する取組事例などを共有されると参考になる。

報告書のダウンロード

お問い合わせ先

IPA セキュリティセンター

  • E-mail

    sc3-infoアットマークipa.go.jp