アジアにおけるサイバーセキュリティ

アジアはこれまでも世界の中でもサイバー攻撃が多い地域であったが、2021年はアジアが第1位であった

地域別　世界でのサイバー攻撃の内訳（2020 vs 2021）

別の観点では、世界でのサイバーセキュリティへの関心の高まりから、今後のビジネスにおいてサイバーセキュリティ能力の証明を利害関係者から迫られるケースがあることも想定される。例えば、防衛業界では、米国防省と取引を行う企業は2020年秋以降、第三者機関によるセキュリティ要件への準拠の担保、セキュリティ対策状況およびプロセスの成熟度評価、SP800-171を含めた複数のサイバーセキュリティ基準に準拠する必要があり、セキュリティ要件を満たさない企業・製品・サービスはサプライチェーンから排除される。
 

CMMCの適用により、従来の防衛調達におけるNIST SP 800-171による「CUI保護」要求が、第三者評価機関からの認証取得を必要とするものに強制化された

米国防衛調達におけるNIST SP 800-171要求

また、自動車業界においても、UNECE（国連欧州経済委員会）の作業部会WP29（自動車基準調和世界フォーラム）に係る動きが挙げられる。2020年6月にUNECE規則サイバーセキュリティ（UNR 155/156）が採択され、今後関係国のOEMはサイバーセキュリティに係る認証取得が必要となる流れだが、調達品等のコンポーネントについても要件を満たすことを証明する必要があるため、取引先から準拠証跡の提示を求められる可能性もある。
 

UNR 155,156の仕組みとして、認証を取得するのはOEMであるが、要件への対応に係る影響は自動車業界全体に波及する

WP29における認証の仕組みと影響範囲

各国の法規制についても、例えば個人情報保護に係る法規制が東南アジアやインドでも整備されてきている。この背景には、世界各地において相次ぐ情報漏洩や不適切な処理が発生しており、消費者の個人情報保護に係る意識の高まりが挙げられる。また、例えばデータ保護規制の執行が積極的なシンガポールではこれまで日系企業が制裁を受ける事案も複数発生しており、今後他国でも同様の事案が発生する可能性があるため、各国でビジネスを行う企業においては、各事業地での対応が必要である。

執行の厳格さなどの違いはあるものの、各国でのデータ保護規制(個人情報保護法)の整備が進んでおり、対応の必要性が高まっている

東南アジア地域でのデータ保護規制の整備状況

これまで記述してきた動向を以下に再度取り纏める。

サイバーインシデントがいつ起きても不思議ではない状況に加え、サイバー意識の高まりに伴う客観的なサイバー能力の説明や担保、各国や業界の法規制にも対応が必要である

今後の考えられるシナリオ

サイバー攻撃の発生に関しては、自社を取り巻くサイバー脅威、守るべき領域に見合った形で、自社のサイバーセキュリティ戦略をデザインし、平時・緊急時ともに体制を整えておく必要がある。また、サイバーセキュリティをビジネスアジェンダとして組み込み、費用ではなく企業価値を高める「攻め」の投資として注目し、優先度をあげて取り組むことが今後のデジタル社会でのビジネスにおいてより重要となると考えられる。

サイバーセキュリティ戦略の策定を通じて、企業の事業戦略やIT戦略をセキュアに実現し続けるために必要となる管理態勢、施策、実現に向けたロードマップを決定する

サイバーセキュリティ戦略

ただし、サイバーセキュリティ戦略の策定にはリソースが必要であることに加え、本社や他拠点を巻き込んでの調整/検討が必要となるため、策定までに時間を要する。そのため、中長期的には本社とのサイバーセキュリティ戦略の策定を進めつつ、足下では自拠点の基本的なサイバーセキュリティインシデント対応の再確認をお勧めしたい。これまで、特に東南アジアおよび日本の経営層やIT部門担当者とサイバー攻撃対応についてのお話しを伺った経験から、確認ポイント例を下記に示す。

【足下のサイバー対応確認ポイント】

• サイバーインシデントが発生した際の対応フローは存在するか
  
  • サイバーインシデントが発生した際の対応が具体化されておらず、場当たり的な対応となり、影響範囲の拡大や長期化に繋がったという声をお聞きしている。また、事業継続計画は存在するものの、サイバー観点が盛り込まれていなかった、更新が長期間されておらず現状と乖離しており活用できなかったというケースもある。特に初動対応については、具体化と全体周知、コミュニケーションパスの明確化を行うことが肝要である。
    
• サイバーインシデント対応に係る相談先は明確であるか
  
  • サイバーインシデント発生後に外部機関や専門家を探し始め、対応に時間を要したという声をお聞きしている。海外拠点ではサイバーインシデント対応に係る社内リソースが不足している傾向があるため、有事の際にすぐに連絡が取れる外部の相談先を確保しておくことが肝要である。また、合わせて平時から定期的な外部のサイバーセキュリティに係るコミュニティ、アドバイザー等との接点を持ち、関係を築いておくことも自社の助けに繋がるだろう。
    
• 経営層の役割と責任は明確であるか
  
  • サイバーインシデント発生時に経営層がリーダーシップを発揮できず、対応の優先度付けや実行承認に時間を要したという声をお聞きしている。未だIT部門が主導して対応する場合が多いと思われるが、サイバーインシデント対応はビジネスに係る問題となるため、必ず経営層の関与が必要不可欠であり、経営層がリーダーシップを持って主導することが肝要である。有事の経営層の役割と責任を明確化し、定期的に経営層をも含めた全社横断的なサイバーセキュリティ演習等を実施することが重要である。

サイバーセキュリティ能力の証明に関しては、自社の守るべき重要資産の特定および自社にとっての脅威特定、現状の成熟度を網羅的かつ客観的に把握し、明示的に説明可能な状態であることが重要である。また、例えばNIST基準等への準拠が求められた場合には、守るべき情報資産の特定、各要件で問われている内容とのGap分析、準拠対応のロードマップ設計、準拠説明文書の作成等、適切に準拠対応を行うことが肝要である。
 

現状の成熟度と目標の成熟度間のGapを示すとともに、同業他社とのベンチマーク比較により、高度化が望まれる領域を明示的に特定可能

サイバーセキュリティ評価：目標の成熟度の設定によるGap把握とベンチマーク比較

SP 800-171対応に向けては、CUI分析・保有範囲の特定を実施し、CUIに該当し得る情報や将来的にCUIを取り扱う範囲を念頭においたGap分析及び対応が重要である

NIST対応の構成要素および流れ 

個人情報保護対応については、ビジネスを行う事業国において関連する法規制を整理することに加え、個人データの取得・利用・廃棄までのライフサイクル全体を管理できる体制の整備とモニタリングや責任者の設置等も重要な検討項目である。
 

データ保護規制対応においては、各事業地域の法規制を踏まえて包括的な検討と、根本的なセキュリティ態勢の強化が必要である

データ保護規制対応に向けたアプローチ

サイバーセキュリティを取り巻く環境は日々変化し、ビジネスにおける重要性も増してきている。我々はグローバルにて多種多様なサイバーセキュリティに係るご支援を行っており、その知見を活かして少しでも皆様のお役に立てればと考えている。本稿が貴社のサイバーセキュリティ対応のきっかけの一つになれば幸いである。