目次

はじめに

◼高度化・組織化が進むサイバー犯罪にどう対応するか
◼ＩＳＭＳを自社のセキュリティ対策に活かすには

第１章　日本の情報セキュリティの実情

１　日本のセキュリティ対策が遅れている理由
　　◼サイバー能力において日本は世界16位という現実
　　◼性善説に基づく支え合いの精神はサイバー空間では通用しない
　　◼「日本語のバリア」はすでに効果を失いつつある
２　組織、人材、そして何よりも経営者の意識改革を
　　◼セキュリティ対策は〝コスト〟なのか
　　◼セキュリティ責任者の設置率は米豪の半分以下
　　◼人材不足に対して強化策を行っている企業はわずか
　　◼経営者はセキュリティにどこまでコミットすべきか
　　◼「セキュリティは経営マター」の認識が必要
３　実効性のあるセキュリティ体制を構築するには
　　◼日本企業がセキュリティ人材確保・育成に本腰を入れない原因
　　◼サイバー脅威とＩＳＭＳの30年
　　◼ＩＳＭＳ取得だけでは対策は十分ではない
　　◼具体的なセキュリティ対策で海外企業と如実な差
　　◼日本企業はＩＳＭＳ偏重？
　　◼アメリカで生まれたＮＩＳＴとＣＭＭＣ
　　◼中長期的なセキュリティ対策計画の策定と定期的な評価を

第２章　なぜいまセキュリティが重要なのか

１　サイバー攻撃の歴史と転換点
　　◼サイバー空間の攻撃と防御の歴史を知る意味
　　◼当初の攻撃は愉快犯が中心だった
　　◼2000年前後から始まったサイバー攻撃の目的と質の変化
２　ビジネスへの脅威としてのサイバー攻撃
　　◼攻撃者はそれなりのコストをかけている
　　◼2010年代から増え始めた標的型攻撃
　　◼世界中で増加するランサムウェア攻撃
　　◼コロニアル・パイプラインへの攻撃と身代金
　　◼人の命を脅かす、病院へのランサムウェア攻撃
　　◼ビジネスメール詐欺の脅威
　　◼「悪意あるＡＩツール」によるサイバー攻撃の増加
　　〈コラム〉サイバー攻撃が増加する中での日本の法規制
３　情報セキュリティの誕生とその後の変遷
　　◼初期の対策としての「ファイアウォール」と「アンチウイルスソフト」
　　◼攻撃を水際で防ぐ「境界型防御」が主流に
４　サイバー攻撃の「高度化」に立ち向かう
　　◼攻撃の質的変化はなぜ起こったのか
　　◼デジタルによる利便性は攻撃者も享受している
　　◼「産業化」するサイバー攻撃
　　◼ゼロデイ攻撃が狙うソフトウェアの脆弱性
　　◼サイバー攻撃は気づかれないように行われる
５　ＩＴ活用／ＩＴ環境の変化とセキュリティ対策
　　◼クラウド活用の広がりと求められる対策
　　◼テレワークの普及で浮上した境界型防御の課題
　　◼ゼロトラストセキュリティという潮流
　　◼セキュリティ業務の自動化・省力化

第３章　真に効果のあるセキュリティ対策を行うには

１　自社のサイバーセキュリティ対策の現状を知る
　　◼５段階でのセキュリティ対策レベル
　　◼最低限の対策を施す：初級レベル・一つ星
　　◼個人・組織ともに対策を高度化：初中級レベル・二つ星
　　◼自社を守るだけではセキュリティ対策は道半ば
　　◼企業・組織のセキュリティ対策の基本となるＮＩＳＴ ＣＳＦ
　　◼サプライチェーン企業が最低限実装すべき対策：中級レベル・三つ星
　　◼自社の役割を踏まえて事業継続性を確保：中上級レベル・四つ星
　　◼三つ星と四つ星のどちらを目指すべきか
　　◼セキュリティの透明性と予見性を兼ね備える：上級レベル・五つ星
２　成熟度を上げるためにはどのようなアクションを取るべきか
　　◼セキュリティ成熟度向上のための５つのステップ
　　◼なぜ経営層が正しく理解するのが難しいのか

第４章　セキュリティ投資はいかに行うべきか

１　日本企業のセキュリティ投資の問題点
　　◼多種多様なリスクを同じ尺度で評価する
　　◼セキュリティリスクへの対応が重要視される理由
　　◼「セキュリティ投資額は連結売上高の0・5％以上」という考え方
　　◼ビジネスへの影響から対策を考える
　　◼ＫＡＤＯＫＡＷＡへの攻撃に見る被害の多様性
　　◼ランサムウェアの脅威は以前から指摘されていた
２　セキュリティ投資の基本的な考え方
　　◼ＲＯＳＩをベースに対策の優先順位を判断する
　　◼ケース１：ランサムウェア攻撃への対策
　　◼ケース２：製造業におけるランサムウェア攻撃への対策
　　◼ケース３：個人情報漏洩対策
　　◼ケース４：セキュリティ保険の落とし穴
　　◼ＩＰＡが無償提供する「ＮＡＮＢＯＫ」
３　セキュリティ投資で経営者が果たすべき役割
　　◼経営トップの３つの役割
　　◼リスクの軽減・移転・回避
　　◼「不確実性」にどのように対応するか

第５章　サプライチェーン攻撃をいかに防ぐか

１　日本企業のサプライチェーン防御は道半ば
　　◼チェーンの強度は「最も弱い輪」が規定する
　　◼サプライチェーン攻撃の３タイプ
　　◼サプライチェーンに対する統制は十分か
２　サプライチェーン全体でセキュリティを強化するには
　　◼サプライチェーンセキュリティ強化に向けた国の施策
　　◼経済産業省が進める評価制度づくり
　　◼サイバーセキュリティガイドライン：自動車産業を例に
３　サプライチェーンセキュリティ強化に役立つツール
　　◼ソフトウェアの部品構成を示すＳＢＯＭの重要性
　　◼アンケート調査の限界とツールを活用した可視化
　　◼サプライチェーン内で互いに知見を高め合う

おわりに

著者

インフォセックアドバイザリー株式会社　代表取締役　藤田哲矢
一橋大学大学院商学研究科、INSEAD（欧州経営大学院）のAMPを修了。ソフトバンク、アクセンチュア、メイソンコンサルタントグループを経て、インフォセックアドバイザリー（旧称メイソンコンサルティング）を設立。同社において製造業やハイテク産業のグローバル企業を中心にサイバーセキュリティのアドバイザリーや監査業務に従事。近年では、グローバルのサイバーセキュリティ・コンソーシアムに参画しサプライチェーン・セキュリティの活動を推進。また、日本国内のサプライチェーン・サイバーセキュリティ・コンソーシアム（CRIC SC３）の国際ワーキンググループの委員としても活動。

インフォセックアドバイザリー株式会社
東京都港区に本社を置き、サイバーセキュリティのアドバイザリー事業を手掛ける。主に中堅から大手企業向けに、サイバーセキュリティ診断、認証資格取得支援、セキュリティに特化したプロジェクトマネジメント（PM/PMO）を提供し、グローバル案件への対応を強みとする。また、IAPP（国際プライバシープロフェッショナル協会）、日本クラウドセキュリティアライアンス、サプライチェーン・サイバーセキュリティ・コンソーシアムの法人会員として活動している。