ナレッジ

勘違いセキュリティ

セキュリティ管理の正しい理解を学ぶ

各組織の経営トップのセキュリティに対する関心は高まりを見せており、それに呼応するように、当社に寄せられるセキュリティ関連の相談・依頼は急速に増加している。そこで、本サイトでは、セキュリティに関する本質的な理解促進のため、数回にわたって分かりやすく紹介する。

プロローグ

1．自動車業界で高まるセキュリティの重要性

2020年7月、自動車部品の金型の設計や製造を手掛ける国内サプライヤにて、ランサムエアによるセキュリティ被害が発生した。ランサムウェアとは、パソコン内のファイル・データを不正に暗号化してしまうコンピュータウイルスのことで、その解読の見返りに身代金を要求するという犯罪の手口である。

こうしたリスクが顕在化すると、社内業務の中断だけでなく、最悪の場合は生産活動の停止等の経営危機を招く懸念もある。さらに、最悪の場合、製品技術に関わる機密情報が破壊または漏えいし、その結果、企業の競争力低下を引き起こす危険もあり、看過できない問題である。

また、自社の問題のみならず、最悪の場合は、感染したコンピュータウイルスがネットワークを通じてサプライチェーン全体に伝播し、より広域にわたる大規模被害につながる可能性も生じる。この傾向は、まさに、今世間を賑わせているCOVID-19のような感染症と同様の事象であると言っても過言ではない。

つまり、サプライチェーンに関わるサプライヤとしても、セキュリティに関わる被害の発生は、決して「対岸の火事」ではないのである。

2．型式認可によるサイバーセキュリティの義務化

2020年6月、国連におけるWP29（自動車基準超世界フォーラム）において、サイバーセキュリティに係る型式認可のレギュレーションが採択された。2022年には、所与のセキュリティ要件を満たさない組織プロセス、及び各車両型式については、販売許可が下りないルールが国際的に開始される。

なお、WP29のレギュレーションを鑑み、国交省は関連法の改正が先行して進んでおり、2019年5月、自動運転の実用化に向けた改正道路運送車両法が成立、不完全なプログラムの配信や、第三者による不正な改造プログラムの作製、大量配信を防止するための許可制度が先立って創設されている。また、今後、国内の保安基準にWP29の要件を取り入れる計画であり、国内外において自動車に係るセキュリティの充足度が重要な経営課題となる。かつ、この型式認可は、技術的な対応のみならず、マネジメントシステムとして体制、プロセス、設備、システム全体を含む体系的なセキュリティ対応の実施状況が対象となる。さらには、現場視点だけでなく、部門全体さらには経営層の視点での重要性を提唱している。

認可を受けるのはOEMであるものの、マネジメントシステム全体として見ると、開発・運用に関わるサプライヤ及びサービスプロバイダの管理態勢も関係する。そのため、サプライヤはOEMに対して、適切な管理ができていることを説明責任として果たす必要がある。ということで、もはやサプライヤにも無視できない重要課題である。

ゆえに、全社的に取り組む経営課題として位置付けるべきである。

勘違いセキュリティ　規程類はなぜ重要なのか？

本連載の趣旨

各組織の経営トップのセキュリティに対する関心は高まりを見せており、それに呼応するように、当社に寄せられるセキュリティ関連の相談・依頼は急速に増加している。

ただし、その反面、クライアントとの対峙において、基本的なセキュリティの考え方が「誤解」されている、または、「認識不足」と感じることもある。その結果、双方の会話ですれ違いやギャップが生じ、提案活動やプロジェクト支援が進む過程で障壁となる局面もある。現時点では、セキュリティに関する本質的な理解は広くかつ正しく浸透していないと実感している状況である。

とはいえ、サプライヤ・サービスプロバイダの中には、セキュリティ管理というテーマについて社内リソースを十分に充てることが諸事情によって難しい組織も多く、そういったセキュリティ管理の気運が社内で根付いていないという状況も見られる。

以上を踏まえて、本連載では、実際にどういった誤解／認識不足が起こりやすいのか、以下の特徴を踏まえたストーリー展開で取り上げると共に、本来あるべき正しい取組みのイメージを掴んでいただくことに主眼を置く。

【特徴①】特定のテーマ・題目ごとの連載回（一話完結型）

【特徴②】教科書的な解説中心ではなく、実例を用いたケーススタディ形式

【特徴③】 BEFORE／AFTERによる対比で、勘違いのポイントと正しい姿を強調

本連載で扱うテーマ

サイバーセキュリティのマネジメントシステム上の各プロセスにおける「勘違い」に主眼を置いて、解説を進める。ここでのプロセスとは、以下を対象とする。

【プロセス①】ガバナンス

【プロセス②】特定・予防

【プロセス③】発見・対処

【プロセス④】サプライチェーン管理

上記プロセスは、セキュリティ管理の全体感を象徴している。本連載では、この中から代表的なテーマについて言及する。各テーマ、主管となる部門及び担当者は様々である。ただし、共通することとしては、全社一丸となった取組みが求められることである。

最後に、本連載を通じて、世の中におけるセキュリティ関連の活動に関わる人々に寄与することが我々の切なる願いであり、セキュリティ管理に悩み考える多くの担当者にとっての気付きとなることを期待したい。

お問い合わせ

監査・保証業務

リスクアドバイザリー

ファイナンシャルアドバイザリー

コンサルティング

税務

法務

グローバルビジネス支援

Deloitte Analytics

Deloitte Private

コンシューマー

資源・エネルギー・生産財

金融

政府・公共サービス

ライフサイエンス・ヘルスケア

テクノロジー・メディア・通信

プライベートエクイティ

デロイトトーマツインスティテュート

キャリア採用

新卒・定期採用

Life at Deloitte

ダイバーシティ

デロイトトーマツアラムナイ

Well-being（ウェルビーイング）

勘違いセキュリティ

セキュリティ管理の正しい理解を学ぶ

目次

プロローグ

1．自動車業界で高まるセキュリティの重要性

2．型式認可によるサイバーセキュリティの義務化

本連載の趣旨

本連載で扱うテーマ

目次

その他の記事

アカウントのリンク

勘違いセキュリティ

セキュリティ管理の正しい理解を学ぶ

目次

プロローグ

1．自動車業界で高まるセキュリティの重要性

2．型式認可によるサイバーセキュリティの義務化

本連載の趣旨

本連載で扱うテーマ

目次

その他の記事

アカウントのリンク

以前EmailアドレスでMy Deloitteに登録されています。ソーシャルメディアアカウントをリンクするには再ログインしてください。

You've previously logged into My Deloitte with a different account. Link your accounts by re-verifying below, or by logging in with a social media account.

Emailアドレスとソーシャルメディアでログインしたようです。Emailまたはソーシャルアカウントでサインインして、アカウントをリンクします。