JAMA/JAPIAサイバーセキュリティガイドラインは「まず19項目」から!専門家がv2.2を分かりやすく解説
自動車業界の取引先から、ある日突然「サイバーセキュリティガイドラインに対応してください」と言われ、戸惑ってはいませんか? 153項目にもおよぶリストを前に、「専門知識もないし、一体どこから手をつければ…」と、具体的な一歩を踏み出せずにいる方も多いかもしれません。 しかし、ご安心ください。 このガイドラインは、公式が「まず取り組むべき」と示している「優先19項目」から始めるのが、もっとも確実で効率的な進め方なのです。 この記事では、セキュリティの専門家が、その「優先19項目」だけに的を絞り、最新のv2.2解説書をもとに、どこよりも分かりやすく解説していきます。 この記事を読めば、こんな疑問や不安がスッキリ解決します! なぜ今、自動車業界でセキュリティ対策が急がれているの? 153項目もあるガイドライン、結局どこから手をつければいい? 公式が推奨する「優先19項目」って、具体的に何をすればいいの? 19項目をクリアしたら、次は何を目指せばいいの? 読み終える頃には、漠然とした不安が「これならできそう!」という自信に変わっているはずです。 なぜ今、自動車部品サプライヤーにもセキュリティ対策が求められるのか 「セキュリティ対策は、大企業がやることでは?」 もし、そうお考えでしたら、少しだけ見方を変える必要があるかもしれません。 最近のサイバー攻撃は、企業の大きさに関係なく、取引先から取引先へとつながる「サプライチェーン」全体を狙うようになっています。 なぜ、それほどまでに対策が急がれているのか、その背景にある理由を一緒に見ていきましょう。 狙われる日本のサプライチェーン、他人事ではないセキュリティ事故 「うちのような中小企業は、攻撃者から見向きもされないだろう」 残念ながら、この考え方はむしろ逆です。 攻撃者は、セキュリティがしっかりしている大企業を正面から狙うことはしません。 その代わり、比較的対策が手薄になりがちな海外の拠点や、取引先である中小企業を最初のターゲットにします。 そこを踏み台にして、最終的にサプライチェーン全体をストップさせてしまうのです。 実際に、国内でも大きな被害が次々と報告されています。 2022年2月:トヨタ自動車の主な取引先である小島プレス工業がランサムウェア攻撃を受け、トヨタの国内全14工場が一時的にストップ。原因は、海外にある関連会社のVPN装置の弱点でした。 2020年6月:本田技研工業(ホンダ)がサイバー攻撃の被害に遭い、海外11拠点の工場がストップ。世界中の生産や出荷に影響が出ました。 2019年:トヨタの販売関連会社が不正アクセスを受け、最大で310万人分もの顧客情報が流出した可能性があると報道されました。 これらは、決して特別なケースではありません。 情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2024」というレポートでも、「サプライチェーンの弱点を悪用した攻撃」は、企業が気をつけるべき脅威の第2位に挙げられています。 出典: 「情報セキュリティ10大脅威 2024」(独立行政法人情報処理推進機構(IPA)) 自社が直接被害を受けるだけでなく、知らぬ間に攻撃の入り口にされてしまい、取引先にまで大きな迷惑をかけてしまう。 それが、今のサイバー攻撃のリアルな姿なのです。 ガイドラインへの未対応が「取引停止」につながる時代に サイバー攻撃の怖さに加え、もう一つ無視できないのが「ビジネス上の問題」です。 このガイドラインは、もはや「できれば対応してほしい」という努力目標ではありません。 サプライチェーン全体で守るべき「共通のルール」になりつつあるのです。 最近では、発注元である自動車メーカー(OEM)や大手部品メーカー(ティア1)が、取引の条件として「ガイドラインにきちんと対応していること」や「自己評価チェックシートを提出すること」を求めるケースがどんどん増えています。 もし、この条件に応えられなかったら、どうなるでしょうか。 新しい取引のチャンスを逃すだけでなく、もっと深刻なケースでは、今ある取引そのものが見直されたり、止められたりすることにもなりかねません。 セキュリティ対策は、自社を守るだけでなく、サプライチェーンにおける信頼の証となり、ビジネスを継続するための必須条件でもあるのです。 自動車業界の共通ルール「JAMA/JAPIAサイバーセキュリティガイドライン」って何? こうした背景から、日本の自動車メーカーの集まりである「日本自動車工業会(JAMA)」と、部品メーカーの集まりである「日本自動車部品工業会(JAPIA)」が力を合わせて作ったのが、「JAMA/JAPIAサイバーセキュリティガイドライン」です。 これは、日本の自動車産業に関わるすべての会社が、みんなでセキュリティレベルを上げていくための「共通の物差し」だと考えると分かりやすいかもしれません。 初版は2020年3月に公開され、最新版は2024年8月に出たVer.2.2です。 自工会/部工会・サイバーセキュリティガイドライン 経済産業省が作ったお手本も参考にしつつ、中小企業でも取り組めるような内容になっており、153項目のチェックリストを使って、それぞれの会社が「うちはここまでできています」と自分の状況を診断し、取引先に報告する、という使われ方を想定して作られています。 【結論】まず公式が示す「優先19項目」から始めよう 153項目もあると聞くと途方に暮れてしまいますよね。 しかし、ご安心ください。 冒頭でもお伝えしたように、すべてを一度にやろうとしなくていいのです。 ガイドライン対応の第一歩として、公式が「まず、ここから始めてみてください」と親切に教えてくれている「優先19項目」に集中することが、もっとも確実で効率的な進め方です。 なぜ「優先19項目」だけでいいの?公式のお墨付きがあるから安心 「本当に19項目の対策だけで、取引先に十分だと認められるの?」 そんな心配をされるかもしれません。 しかし、このやり方は、私たちが勝手に考えたものではなく、ガイドラインを作ったJAMA/JAPIA自身が「この方法で進めてください」とオススメしている、れっきとした公式な進め方なのです。 ガイドラインVer.2.2に付いてくる「セキュリティ推進担当者向け解説資料」という文書にも、はっきりとこう書かれています。 「レベル1(50項目)の取り組みに対しても対応する事は困難」という企業の声を受け、特に優先度の高い項目を抽出した。 つまり、多くの会社が対応に困っている状況を分かった上で、「特にこれだけはやっておいてほしい」という重要で、かつ効果が出やすい対策として、この19項目が選ばれたというわけです。 ただ、一つだけ気をつけてほしいことがあります。 これは「19項目だけやれば、もう何もしなくていい」という意味ではありません。 あくまで、確実な一歩を踏み出すためのスタート地点。 この19項目をクリアしたら、残りのレベル1の項目、そしてレベル2へと、少しずつ対策を広げていくことが、最終的なゴールになります。 「優先19項目」の全体像は?「事故への備え」と「侵入させない対策」 では、その19項目とは、具体的にどんな内容なのでしょうか。 これらは、大きく2つのグループに分けられます。 もしも事故が起きた時のための備え(計8項目): 万が一、攻撃を受けてしまった場合に、被害をできるだけ小さくするための「守りの備え」です。 そもそも侵入させない・広げないための基本的な対策(計11項目): 攻撃者に入り込む隙を与えず、もし入られても被害を広げないための「基本的な守り」です。 このように、19項目は「何かあった後の対応(事後対応)」と「そもそも何かを起こさせないための対策(事前対策)」の両方から成り立っており、どちらかが欠けても、十分な対策とは言えないのです。 次は、この2つのグループについて、具体的に何をすればいいのかを、一つひとつ見ていきましょう。 【第1部】事故発生に備えた構え(8項目) サイバー攻撃を100%防ぎきることは不可能だ、という前提に立って、何かあった時でも、事業への影響を最小限にするための「構え」を固めるのが、この第1部の目的です。 具体的には、以下の3つのテーマに沿った8項目を確認していきます。 【緊急時の対応】責任者を決め、連絡先と手順を決めておく なぜ必要なの? 何か問題が起きた時、一番大切なのは「最初の動き出し」です。 誰がリーダーで、誰に連絡して、何をすればいいのかが決まっていないと、対応はどんどん遅れ、被害はあっという間に広がってしまいます。 「もっと早く動いていれば…」と後悔しないためにも、普段からの準備が欠かせません。 何をすればいいの? ガイドラインでは、「事故が起きた時のためのチームと、それぞれの人の役割を決めておくこと」が求められています。 具体的には、以下の3つを準備しておくと安心です。 チーム作り: 社内にCSIRT(シーサート)と呼ばれるような緊急対応チームを作り、責任者とメンバーの役割分担を決めておきます。CSIRTは「Computer Security Incident Response Team」の略で、セキュリティ問題に対応する専門チームのことです。 連絡先リスト: 社内(社長や役員、関係部署)だけでなく、社外(いつも頼んでいるセキュリティ専門会社、警察、IPAの相談窓口など)も含めた緊急連絡先リストを作っておきます。 報告ルール: 問題を見つけてから、最終的に報告するまでの流れを決めておきます。報告に使うための簡単なフォーマットも用意しておくと、いざという時にスムーズです。 どう進めればいいの? まずは、問題が起きた時に指揮をとる責任者を決めるところから始めましょう。 そして、考えられる被害(ランサムウェアでPCが使えなくなる、情報が盗まれるなど)ごとに、「発見→報告→初動対応→調査→復旧→報告」という一連の流れを時系列で書き出します。 それぞれの段階で「誰が」「何をするか」を具体的に当てはめて、簡単な手順書を作っておくのです。 完成した計画は、年に1回くらいは見直したり、訓練したりして、本当に使えるかどうかを確認しておくことが大切です。 【バックアップ】重要なデータを決め、復元できるか試しておく なぜ必要なの? ランサムウェア攻撃の一番の目的は、会社のデータを勝手に暗号化して使えなくし、元に戻すためのお金を要求することです。 もし、元に戻せるバックアップがなければ、仕事に欠かせない大事なデータを永遠に失ってしまうかもしれません。 最近では、オンライン上にあるバックアップデータごと破壊する巧妙な手口も増えており、ただバックアップを取っているだけでは、安心とは言えなくなっています。 何をすればいいの? ガイドラインが求めているのは、「適切なタイミングでバックアップを取り、復元するための手順書を作っておくこと」です。 ポイントは以下の3つです。 大事なデータの特定: 仕事を進める上で、これがないと困るデータ(例: 図面、設計データ、顧客リスト、受発注の記録など)は何かをはっきりさせます。 定期的で安全な保管: バックアップを取る頻度を決め、取ったデータは会社のネットワークから切り離した場所(オフライン)や、物理的に別の場所(遠隔地)に補完します。 復旧手順の文書化: 誰が見ても分かるように、具体的な復元手順を紙か誰でも見られるファイルに残しておきます。 どう進めればいいの? まずは、自社にとっての「大事なデータ」をリストアップし、それぞれのバックアップ頻度(毎日なのか、週に一度なのか等)と保管の仕方を決めたルールを作りましょう。 そのルールに従ってバックアップを取り、同時に「このバックアップから、この手順で復元する」という手順書を整備します。 年に1回くらいは、実際にバックアップからシステムを元に戻してみる「復旧テスト」を行うのが理想です。 テストをしてみることで、手順書の間違いや、考えてもみなかった問題点が見つかるものです。 【事業の継続】システム停止を想定した代替手段を考えておく なぜ必要なの? 大きなサイバー攻撃を受けると、中心となるシステムや工場の生産システムが、何日も、あるいは何週間も止まってしまうことがあります。 その間、生産や出荷が止まってしまうと、自社の損失はもちろん、サプライチェーン全体に多大な迷惑をかけることになり、会社の信頼を根本から揺るがすことにもなりかねません。 何をすればいいの? 求められているのは、「システムが止まっても仕事を進められる代わりの方法を用意しておくこと」、つまり、サイバー攻撃を想定した事業継続計画(BCP)を作っておくことです。 ITシステムがまったく使えなくなった時に、どうやって大事な仕事を続けるか、そのやり方をあらかじめ決めておくのです。 公式の資料でも、代わりの方法として、こんな例が紹介されています。 アナログな方法:FAXや電話で注文を受けたり、発注したりする。 他のサービスを使う:クラウド上にある別のシステムを利用する。 どう進めればいいの? まず、それぞれの仕事が「最大で何時間(何日間)なら止められるか」(目標復旧時間:RTO)をはっきりさせます。 その時間内に元に戻せない場合に備えて、具体的な代わりの方法を考えておきましょう。 例えば、「受発注システムが止まったら、主な取引先とはFAXでやり取りする」といった具体的なルールです。 決めた内容は、サイバー攻撃版のBCPとして文書にまとめ、年に一度は訓練してみて、本当に有効かを確認することが重要です。 先ほど紹介した小島プレスの被害例では、システムが止まっている間、FAXで受発注を続けたことが、被害の広がりを抑える一因になったと言われています。 【第2部】侵入・拡散させない基本のセキュリティ対策(11項目) 第2部では、そもそも攻撃者に入り込む隙を与えず、万が一中に入られても、被害を内部に広げないための「基本的な守り」について解説します。 どれも当たり前に聞こえるかもしれませんが、多くの企業で十分にはできていない項目でもあります。 自社の状況と比べながら、一つひとつチェックしていきましょう。 【情報収集】IPAやJPCERT/CCで、脆弱性や攻撃の手口を知っておく なぜ必要なの? 攻撃者のやり方は、毎日どんどん巧妙で、多様になっています。 昨日まで安全だった方法が、今日にはもう通用しなくなるのがサイバーセキュリティの世界です。 新しい脅威(どんな弱点が見つかったか、どんな攻撃が流行っているか)を知らなければ、効果のある対策は打てません。 何をすればいいの? ガイドラインでは、「新しい攻撃の手口を知り、その対策を社内で共有していること」が求められています。 普段から信頼できる情報源から情報を集め、社内の関係者に知らせる仕組みを作っておきましょう。 どう進めればいいの? まずは、信頼できる情報源を定期的にチェックする習慣をつけるのがおすすめです。 IPA(情報処理推進機構): 「情報セキュリティ10大脅威」など、分かりやすいレポートを公開しています。 JPCERT/CC: システムの弱点(脆弱性)に関する専門的な情報を発信しています。 J-Auto-ISAC: 自動車業界に特化したセキュリティ情報を共有する組織です。 これらのサイトを見て回ったり、メールマガジンに登録したりして、自社で使っている製品の弱点情報や、自動車業界を狙った攻撃のニュースなどを集めます。 そして、集めた情報を「月例セキュリティニュース」として社内で共有したり、特に急ぎの場合はアラートとして注意を呼びかけたりする、といった運用ルールを決めておくと良いでしょう。 【脆弱性対応】セキュリティパッチは、期限を決めて必ず当てる なぜ必要なの? 私たちが普段使っているPCのOSやソフトには、後から「脆弱性(セキュリティ上の弱点)」が見つかることがよくあります。 ソフトウェアメーカーは、その欠陥を修正するためのプログラム(パッチやアップデート)を配布しています。 これをサボっていると、攻撃者に「どうぞ、ここから入ってください」とドアを開けているようなものです。 実際に、サイバー攻撃の多くは、この"分かっていたはずの弱点"を狙って行われます。 何をすればいいの? 「セキュリティパッチやアップデートを、きちんと適用すること」が求められます。 具体的には、社内ルールとして「パッチが公開されたら、〇週間以内に適用する」といった期限を決めて、それを守ることが大切です。 PCやサーバーだけでなく、ネットワークにつながる機械のファームウェアなど、社内にあるIT機器すべてが対象になります。 どう進めればいいの? まず、社内でどんなIT資産(PC、サーバー、ソフト、ネットワーク機器など)が使われているかをまとめた「資産台帳」を整備します。 その上で、「Windowsの更新は毎月第3水曜日に必ず行う」といった具体的な運用ルールを決めましょう。PCなどは自動更新をオンにしておくのが基本です。 どうしてもアップデートできない古い機械などがある場合は、その理由を記録に残し、ネットワークから切り離すなどの代わりの対策を取ることが重要です。 【ウイルス対策】対策ソフトを導入し、定義ファイルを常に最新にしておく なぜ必要なの? ランサムウェアなどのマルウェア(悪意のあるプログラム)は、メールの添付ファイルや、書き換えられたWebサイトなど、いろいろなルートでPCやサーバーに入り込んできます。 そして、一台の機械に入り込んだのをきっかけに、社内のネットワーク全体へと広がり、大きな被害をもたらすことがあります。 これを防ぐための基本中の基本が、ウイルス対策ソフトです。 何をすればいいの? 「すべてのパソコン、サーバーにウイルス対策ソフトを入れ、パターンファイル(ウイルス定義ファイル)を常に最新の状態にしておくこと」が求められます。 パターンファイルとは、ウイルスの特徴を記録したデータのこと。 これを最新にしておかないと、新しいウイルスを見つけることができません。 どう進めればいいの? まず、社内のすべてのPCとサーバーにウイルス対策ソフトをインストールします(Windowsに標準で入っているDefenderを有効にするだけでもOKです)。 そして、必ず「自動アップデート機能」をオンにして、パターンファイルが毎日、自動で更新されるように設定しておきましょう。 複数のPCをまとめて管理できる製品を使っているなら、管理画面から全部の端末の状況を定期的に見て、更新に失敗している端末がないかを確認する運用が理想的です。 【パスワード管理】初期設定から変更し、複雑なものを使い回さない なぜ必要なの? 攻撃者は、簡単なパスワードを常に狙っています。 「admin」や「password」、「123456」のような単純なものはもちろん、ネットワーク機器を買った時に設定されている最初のパスワード(デフォルトパスワード)をそのまま使っていると、驚くほど簡単に入られてしまいます。 また、色々なサービスで同じパスワードを使い回していると、どこか一ヶ所で情報が漏れた時に、他のシステムも芋づる式に乗っ取られてしまう危険があります。 何をすればいいの? 「パスワードの設定に関するルールを決めて、全員に知らせておくこと」が求められます。 具体的には、以下の内容を含んだルールが必要です。 長さと複雑さ: 十分な長さ(例: 12文字以上)と、英語の大文字・小文字・数字・記号を組み合わせる。 最初のパスワードは必ず変更: 機械を導入した時や、パスワードをリセットした時は、必ず最初のパスワードを変えさせる。 使い回しの禁止: システムごとに違うパスワードを設定する。 どう進めればいいの? まず、自社のパスワードルールを作って、全従業員にしっかりと知らせましょう。 そして、社内にあるすべてのIT機器やシステムの管理者パスワードをチェックし、最初の設定のままになっているものがないかを確認し、あればすぐに変更します。 退職した人のアカウントが残っていないか、誰でも使える共通のアカウントが存在しないかなども、定期的に見直すことが大切です。 【アクセス権の管理】権限は「必要最小限」に。定期的な見直しも忘れず なぜ必要なの? クラウドストレージや社内のファイルサーバーはとても便利ですが、設定を一つ間違うだけで、会社の外の誰からでもアクセスできる状態になり、情報漏洩にすぐにつながってしまいます。 「便利だから」という理由で、全社員が見られる共有フォルダを作ったり、安易に外部リンクでファイルを共有したりするやり方は、とても危険です。 何をすればいいの? 求められているのは、「アクセスできる権限を、必要最小限にコントロールすること」です。 仕事の上で、本当にその情報を見る必要がある人にだけ、見たり編集したりする権限を与える、という「必要最小限の原則」を徹底します。 そして、その権限が今も本当に必要かどうかを「定期的に見直す」ことが求められます。 どう進めればいいの? まず、社内の情報資産(ファイルサーバー、クラウドストレージなど)の権限設定についての基本ルールを決めます。 例えば、「共有フォルダは部署ごとにアクセス権を分け、全社で共有するフォルダは原則として作らない」「外部リンクで共有する時は、必ず情報管理者の許可をもらう」といったルールです。 そのルールに沿って、今の設定をすべて見直し、もう必要のない権限(例: 部署を異動したのに残っている前の部署のフォルダへの権限)は削除しましょう。 そして、半年に一度、あるいは年に一度は、すべてのアクセス権の設定が適切かどうかをもう一度チェックする「棚卸し」を行い、その結果を記録として残すことが大切です。 「優先19項目」をクリアしたら?信頼をさらに高めるための次のステップ ここまで解説してきた19項目への対応、お疲れ様でした。 これらを一つひとつ実行すれば、ガイドライン対応の大きな一歩を踏み出したことになります。 では、この先には何があるのでしょうか。 19項目を達成した後の「次のステップ」について解説します。 まずはガイドライン「レベル1」の項目をすべて達成しよう 今回取り上げた19項目は、ガイドラインが定めている「レベル1」(全部で50項目)の中でも、特に優先して取り組むべきものです。 つまり、レベル1を完全に達成するには、まだ残りの項目がある、ということです。 具体的には、「PCやスマホの基本的なセキュリティ設定」や「従業員へのセキュリティ教育」、「関連するルールの整備」といった項目です。 19項目をクリアして、基本的な守りと備えの土台ができあがったら、ぜひ、このレベル1の完全達成を目指してみてください。 レベル1の項目をすべて網羅できれば、サプライチェーンの一員として、まず最低限の信頼基準はクリアしたと言えるでしょう。 「やったつもり」では不十分?「脆弱性診断」で客観的なお墨付きを 19項目の対策をやってみたけれど、 「これで本当に大丈夫なのだろうか?」「自分たちの評価は甘すぎないか?」 といった不安は残っていませんか? 自分たちだけの評価では、専門家でないと気づけないような設定の間違いや、思いもよらないセキュリティホールを見落としてしまう、「やったつもり」のリスクがあります。 また、自社内の評価だけでは、取引先に対して「我が社は安全です」と示すには説得力が弱い場合もあります。 そこで、一度検討してみていただきたいのが、専門家による「脆弱性診断」です。 脆弱性診断とは、一言でいえば「セキュリティの健康診断」のようなものです。 攻撃者と同じ目線を持つプロが、皆さんの会社のシステムを実際に調べて、弱点がないかを客観的に洗い出してくれます。 実は、ガイドラインのレベル3でも、外部に公開しているサーバーに対しては脆弱性診断を行うことが求められており、プロの目によるチェックがいかに重要かが分かります。 そして、脆弱性診断の一番の価値は、弱点を見つけることだけではありません。 第三者の専門機関が出してくれた客観的な診断レポートは、取引先に対して「私たちはガイドラインを守り、客観的な安全性も確認済みです」と伝える上で、何よりも強力な"説得材料"になります。 ガイドライン対応を確実なものにして、他の会社との違いを明確にし、取引先からの信頼を勝ち取るためにも、一度、専門家による脆弱性診断を考えてみてはいかがでしょうか。 まとめ:「優先19項目」は始まりの合図。取引先に"安心"を届ける次の一歩へ ここまで、JAMA/JAPIAサイバーセキュリティガイドライン対応の最初の一歩として、公式が推奨する「優先19項目」を具体的に解説してきました。 サイバー攻撃がもはや他人事ではなく、対策を後回しにすることがビジネス上のリスクに直結する今、何から始めれば良いかが、かなりハッキリしたのではないでしょうか。 まとめ 何よりも先にやること: まずは公式が示す「優先19項目」から手をつける 対策は両輪で: 「もしもの備え(8項目)」と「基本的な守り(11項目)」 ビジネスの視点: ガイドライン対応は、取引先からの信頼を得るためのパスポート 次の目標: 19項目を達成したら、次は「レベル1」の完全制覇へ 私たち株式会社アイ・エフ・ティは、1,000件を超える脆弱性診断実績を持ち、ツールの網羅性と専門家の深い知見を組み合わせ、費用対効果の高いセキュリティ対策を実現します。 もし、ガイドライン対応をより確実なものにしたい、専門家からの客観的なアドバイスが欲しい、と感じたら、ぜひお気軽にご相談ください。 お客様の状況に合わせた最適なプランをご提案可能です。 まずはリスクの再確認から始め、より具体的な診断にご興味があれば、ぜひお気軽にご相談ください。
