日本自動車工業会(自工会)と日本自動車部品工業会(部工会)は3月31日、サプライチェーン全体でのサイバーセキュリティ対応を強化するため、「中小企業向けセキュリティ対策レベルアップに向けた手引き」を公表しました。
自動車業界には既に全153の達成条件からなる「自動車産業サイバーセキュリティガイドライン」(自工会/部工会・サイバーセキュリティガイドライン)があり、企業が目指すべき到達目標に応じてレベル1(50項目)、レベル2(74項目)、レベル3(29項目)に分類されています。しかし、業界として最低限実装すべき「レベル1」であっても、リソースの限られた中小企業のなかには「予算確保」「人材不足」「経営層の理解醸成」といった課題が壁となり、対策が後手になっている実情がありました。
今般公開された手引きは、こうした課題を抱える中小企業向けに作成されたもので、ITの専門家がいなくても自社で実践できるセキュリティ対策の進め方を支援するガイドとなっています。具体的には、レベル1の中から優先して取り組むべき8つの対策と19の達成条件(ガイドライン要求事項を満たすために、具体的に実施すべきことを示した項目)を絞り込みました。それらの項目がガイドライン本体とどのように対応しているかを示す対照表も作成しました。
手引きでは、優先事項に対応するため全4ステップの手順として解説しています。ステップ0は、経営層の理解を得て体制を作る土台作り▽ステップ1は、情報資産の棚卸しによる現状把握を行い、守るべき「資産」を見える化▽ステップ2で「入口」を確実に固める、基本的な防御を構築▽ステップ3は「もしも」の事態に備え、被害を最小化する有事の対応体制を確立、という流れです。各ステップの解説では、曖昧さを排除し、具体的に「誰が・何を・どう」すべきかに特化した記述になっています。ステップ3を実行した後は、継続的な改善(PDCA)へと繋げます。最新の脅威情報の収集、初動対応訓練結果、バックアップ復元テスト結果などを次のPDCAサイクルに活かします。
手引きには、現場の声として、実際にセキュリティ対策に取り組んだユーザー企業4社の事例も紹介されています。各社がどのように経営層を説得し、費用ゼロから対策を進めたかなど、実践的なヒントや教訓が盛り込まれています。
