- share :
あなたの会社のセキュリティ状況が、星の数で格付けされる時代が到来します。経済産業省が導入を進める「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」は、これまでの自己申告型から第三者による客観的な評価へと、大きな転換を促すものです。
デジタル利活用が進む中、一企業の脆弱性がサプライチェーン全体の麻痺を招くリスクは高まる一方です。取引先から信頼されるパートナーとして選ばれ続けるためには、デジタルトランスフォーメーション(DX)を支える強固な防御体制を可視化しなければなりません。
本記事では、コストを賢く抑えながら、SCS評価制度への対応において肝となるエンドポイント対策の実効性を高める道筋を提示します。
【本記事の要点】
- SCS評価制度の導入により、セキュリティ対策状況が星の数で可視化され、取引条件に直結するようになる
- 攻撃者は守りの薄い中小企業を侵入口にするため、サプライチェーン全体のレジリエンスが問われている
- DX時代の防御の最前線は、オフィス外でも使用されるPCなどのエンドポイント管理に集約される
- Microsoft 365などの既存資産の活用やAIによる自動応答により、コストを抑えた高度な対策が実現できる
【用語解説】本記事を読む前にこれだけは覚えておきたい3大用語
- SCS評価制度:経済産業省が推進する、サプライチェーン全体のセキュリティを格付けする新制度。★の数で対策レベルが可視化される
- EDR (Endpoint Detection and Response):PCの中を24時間監視し、不審な挙動(ファイルが勝手に暗号化される等)があれば即座に検知・隔離する「防犯カメラ+警備員」の役割
- EPP (Endpoint Protection Platform):従来型のアンチウイルスを進化させたもの。ウイルスが侵入・実行される前に、AIなどで予測して食い止める「堅牢な門扉」の役割
狙われる「鎖の弱い環(わ)」:なぜ国は動いたのか
サイバー攻撃の戦術が、守りの固い大企業からその取引先である中小企業へとシフトしたため、国はサプライチェーン全体の防御力を底上げする新制度の導入に踏み切りました。
なぜ、国はわざわざ新しい評価制度を構築するのでしょうか。その理由は、サイバー攻撃者の戦法が劇的に進化したことにあります。
かつて、攻撃者のターゲットは官公庁や巨大なグローバル企業でした。しかし、本丸の防御が固くなるにつれ、彼らは戦略を転換。守りの薄い取引先を突破口にして本丸へ侵入する、いわゆる「サプライチェーン攻撃」が主流となったのです。
大きな鎖(チェーン)も、たった一箇所の弱い環が壊れれば全体が機能不全に陥ります。もし自社が大手クライアントへの侵入口になってしまったら、情報の漏洩だけでなく、クライアントの生産ライン停止やシステムのシャットダウンを引き起こす恐れがあります。その損害賠償と社会的信用の失墜は、中小企業が抱えきれるものではないでしょう。
SCS評価制度は、この弱い環をなくし、サプライチェーン全体を一つの信頼の輪として再構築するために誕生しました。
SCS評価制度の核心:もはや「侵入を防ぐ」だけでは不十分
100%の防御は不可能であるという前提に立ち、侵入された後の検知と復旧能力(サイバーレジリエンス)を示すことが、評価の分かれ目となります。
SCS評価制度の評価基準は、世界標準であるNIST(米国国立標準技術研究所)のフレームワーク(参考:セキュリティ文書NISTについて/IPA公式サイト)に基づいています。ここには、従来の日本企業のセキュリティ観を覆す、明確なメッセージが込められています。
それは、「100%防ぐのは不可能であり、侵入された後の動きをどう検知し、どう立て直すかを示すべきだ」というサイバーレジリエンス(回復力)の思想です。制度では、対策状況に応じて段階的な評価がなされます。
星1から星2は、まずセキュリティの基礎体力を示し、自社で宣言を行う段階です。星3(Basic)は、BtoBビジネスで信頼に足るパートナーと見なされるための最低ラインであり、一般的な脅威への自動的な対処能力が問われます。星4以上(Standard/Advanced)は、標的型攻撃などの高度な脅威に対し、組織的な検知と迅速な復旧が可能なプロフェッショナルな水準を指します。
特に星3以上を狙う際、避けて通れないのが「侵入の検知と即時の対応」です。ここで主役となるのが、今注目されているEPP(エンドポイント保護)とEDR(エンドポイントでの検知・対応)という2つのエンドポイント対策です。あなたの会社のセキュリティ評価は、現状どの段階にありますか?
なぜ「エンドポイント管理」がすべての鍵を握るのか?
境界型防御が通用しない現代の働き方において、攻撃の終着点であり防御の最前線となるデバイス自体の保護が、DX経営の基盤となります。
「ファイアウォールを入れているから大丈夫」
「UTMがあるから安心だ」
こういった考え方だけでは、今のDX時代では通用しません。社内ネットワークという「玄関」に鍵をかけていても、社外に持ち出されたPCという「プレハブ小屋」が無施錠のままでは、泥棒にとって格好の侵入口となってしまうでしょう。
DX経営が進む現在、働き方は多岐にわたります。PCは社外へ持ち出され、カフェや自宅のWi-Fiからクラウドサービスへ直接アクセスしています。もはや社内と社外を分ける境界線は、実質的な意味を成しません。
攻撃者が最終的に狙うのは、常に従業員の手元にあるPC(エンドポイント)です。そこを乗っ取れば、あたかも従業員本人になりすまして、社内の機密情報やクライアントのネットワークへと自在に潜り込めるからです。SCS評価制度においてデバイスそのものを守る仕組みが重視されるのは、エンドポイントこそが攻撃の終着点であり、同時に防御の最前線だからにほかなりません。
EPP(盾)は、既知・未知のウイルスを実行される前にブロックする役割を担います。EDR(目)は、万が一すり抜けて侵入された後に、その挙動を監視して異常を知らせます。この2つを組み合わせることで、たとえ侵入を許しても、データが盗まれる前に食い止めることが可能となるのです。
執筆者
株式会社MU 営業部
帯邉 昇
新卒で日本アイ・ビー・エム株式会社入社。ソフトウェア事業部でLotus Notesや運用管理製品Tivoliなどの製品担当営業として活動。その後インフォテリア株式会社、マイクロソフト株式会社で要職を歴任した。キャリア30年のほとんどを事業立ち上げ期のパートナーセールスとして過ごし、専門はグループウェアやUC、MA、SFA、BIなどの情報系で、いわゆるDXの分野を得意とする。(所属元)株式会社エイ・シームジャパン。