令和４年度サプライチェーン・サイバーセキュリティ対策促進事業（サイバーセキュリティ経営に関する調査）調査報告書

この報告は、サイバーセキュリティ経営に関する調査について書かれた報告書である。経済産業省がIPAと共に実施した令和4年度サプライチェーン・サイバーセキュリティ対策促進事業の成果をまとめている。

近年、企業におけるIT利活用が収益性向上に不可欠となる一方で、サイバー攻撃が増加し手口が巧妙化している現状を受け、本調査では二つの主要な取組を実施した。第一に、サイバーセキュリティ経営ガイドラインの改訂に向けた調査と改訂案の作成である。2019年に公表されたサイバー・フィジカル・セキュリティ対策フレームワークの内容、企業におけるサプライチェーンの位置付けの変化、経営層がコミュニケーションを行うべき関係者の実態、クラウド等最新技術の利用動向、制御系情報システムにおいて考慮すべき事項について最新動向を調査した。

特に2022年以降のランサムウェア被害拡大により、部品製造企業の感染が大手自動車製造企業の製造停止を招くなど、サプライチェーン全体でのサイバーセキュリティ対策の重要性が浮き彫りとなった。また、コロナ禍によるテレワーク普及に伴い、境界防御型モデルからゼロトラストモデルへの移行やクラウド環境への移行が進展したため、従来の2017年改訂版では対応が困難となっていた。

第二に、情報セキュリティサービス活用・普及に関する調査を実施した。有識者会議の開催、情報セキュリティサービス基準等の改訂支援、サービス提供ベンダーへのアンケート及びヒアリング調査、サービス利用者への実態調査を通じて、制度の認知度向上と活用促進策を検討した。調査結果では、制度認知度はやや低下したものの活用状況は改善し、コンサルティングサービスや機器検証サービスへの要望が高いことが判明した。

本調査により改訂された経営ガイドラインと情報セキュリティサービス基準は、今後も継続的な保守・更新が必要とされる。