2020年6月12日

経済産業省は、大企業から中小企業まで、サプライチェーンの弱点を狙ったサイバー攻撃が顕在化・高度化していることを踏まえ、昨今のサイバー攻撃の特徴や具体的事例を整理するとともに、今後の取組の方向性を取りまとめました。この取組の方向性に基づき、サプライチェーン全体のサイバーセキュリティ対策を具体化すべく、産業界等の関係者との調整に着手してまいります。

1.経緯

2020年1月以降、国内の複数の企業が高度なサイバー攻撃を受けていたことが明らかとなり、また、サイバー攻撃により、企業情報が流出した可能性がある事例も続いています。
経済産業省は、こうした状況を重く受け止め、1月31日に、「昨今のサイバー攻撃事案を踏まえた注意喚起と報告のお願い(以下「報告の依頼」という。)」を発出し、各産業団体を通じて、機微情報を保有する企業に対し、各社のセキュリティ対策の点検や、サイバー攻撃による重要な情報の漏えい等の可能性があった場合における2月14日までの経済産業省への報告などを求めました。その結果、期限までに40件弱の報告がありました。
加えて、経済産業省では、令和元年度に、中小企業1,064社に参加いただく形で、中小企業におけるサイバー攻撃発生後の初動対応を支援する「サイバーセキュリティお助け隊実証事業」を実施しており、当該事業を通じて、中小企業に対するサイバー攻撃の実態も明らかになってきました。
本報告書では、上述の「報告の依頼」に基づく企業からの報告や実証事業を通じて明らかになったサイバー攻撃の特徴や具体的事例について経済産業省の認識を示すとともに、今後の取組の方向性を提示しています。

2.概要

①昨今のサイバーセキュリティに係る状況:日々高度化するサイバー攻撃への継続的な対応が肝要に

「報告の依頼」に応じて最終的に40件弱の報告がありましたが、サイバー攻撃によって重要な情報が漏えいしたとの報告はありませんでした。(ただし、〆切後に検知した事案で現在継続調査中の案件はあり。)
一方、報告の内容や昨今のサイバー事案からは、サイバー攻撃が日々高度化していることが明らかになっており、継続的にサイバーセキュリティ対策の状況を点検していくことがますます重要になっています。
本報告書では、サイバー攻撃による昨今の被害の特徴として、「標的型攻撃の更なる高度化」、「サプライチェーンの弱点への攻撃」及び「不正ログイン被害の継続的な発生」の3つを挙げて説明を加えています。

②「サイバーセキュリティお助け隊」で対応したサイバー攻撃事例:中小企業もサイバー攻撃の対象となっている実態が改めて浮き彫りに

1,064社が参加した本実証事業では、全国8地域で計910件のアラート(中小企業におけるサイバー事案の可能性)が発生しました。そのうち、重大な事案の可能性ありと判断し、対処を行った件数は128件あり、なかには、対処を怠った場合の被害想定額が5,000万円近くになる事案もありました。
本報告書では、駆けつけ支援の対象となった特徴的な対応事例として、古いOSの使用や私物端末の利用、ホテルWi-Fiの利用、サプライチェーン攻撃などを紹介しています。

③サプライチェーン全体のセキュリティ確保のために求められる行動

企業が担うべき責任は自らの事業継続の確保に留まりません。サプライチェーンのセキュリティを確保する責任や、企業が負っている社会的な責任、例えば安全保障環境に大きな影響を与える可能性があるため適切な管理が法令で求められている機微技術情報の管理責任など、様々なものが考えられます。
本報告書では、こうした責任を果たすために企業が取るべきアクションとして、①サプライチェーン共有主体間での高密度な情報共有、②機微技術情報の流出懸念時の経済産業省への報告、③適切な場合における(事案の)公表の3つを提示しています。
同時に、中小企業を含めたサプライチェーン全体のサイバーセキュリティ対策の強化のために、中小企業のサイバーセキュリティ対策の取組の可視化を検討していく旨も提示しています。

経済産業省では、今後、このような取組の方向性に基づき、産業界との対話を強化して、具体的な取組の内容について検討し、官民の協力の下、サイバーセキュリティ対策の推進運動へとつなげていきたいと考えています。

3.関連資料

担当

商務情報政策局サイバーセキュリティ課長 奥家
担当者:尾崎、村上

電話:03-3501-1511(内線 3964)
03-3501-1253(直通)
03-3580-6239(FAX)