Nemko ブログで専門家の意見をすべて読む

サイバーセキュリティの認証取得をお勧めする理由

作成者: Nemko|May 8, 2022

サイバー犯罪者にとって、これほど好都合な状況はありません。サイバーセキュリティの認証は、あなたのビジネスの安全性と信頼性を維持するために役立ちます。
インターネットが世界経済の中核インフラとしてますます重要性を増す中、統一的なサイバーセキュリティ戦略の必要性が叫ばれています。バリューチェーンは高度に統合されており、特にデータに関しては、その傾向が顕著です。このため、企業や組織は攻撃に対して脆弱な状態にあります。 

2019年のNorsk Hydro ASのハッキングや最近のGarminのハッキングはその一例であり、世界的なサイバー犯罪の氷山の一角に過ぎませんが、このような事例があることは事実です。サイバー攻撃の正確な財務的影響を判断することはほとんど不可能です - レピュテーション損害やその他の無形のコストを特定することは困難ですが、しかし、これもまた事実です。これほど大きな数字を数えるのに、誰が小数を必要とするでしょうか。アクセンチュア(2019年)によると、サイバー犯罪攻撃の平均コストは1,300万米ドルに及びます。

"Garmin社 "にとっては もっと悪い事態もあり得たのです。そして、ランサムウェアの大物ハンターが再び襲うのは時間の問題だ。"

Wired.com

サイバーセキュリティには多大なコストがかかるにもかかわらず、これほどまでに規制がない分野はほとんどありません。  この状況は変わりつつあります。 

EUサイバーセキュリティ法が導入されました。

欧州では、EUサイバーセキュリティ法が導入され、「デジタル製品、サービス、プロセスに対するEU全体のサイバーセキュリティ認証フレームワーク」が確立されました。当面の間、EUサイバーセキュリティ法ではIoT機器の認証は義務付けられていませんが、その目処は立っています。2020年6月に欧州規格「Cyber Security for Consumer Internet of Things」(ETSI/EN 303 645)が発行され、英国やフィンランドのように、すでにこの規格を参照する国家制度も出てきているのです。 

企業や組織は、この規格が義務化される前であっても、この規格の認証を受けることを検討することができ、またそうした方が良いでしょう。一般に、認証取得は製品やその親会社の市場性に大きな影響を与えることがあります。 

なぜサイバーセキュリティの認証を受けるのか?

企業がサイバーセキュリティの認証を必要とするのは、電気安全など他の分野の認証と全く同じ理由です。認証を取得することで、以下のことが可能になります。 

  • 共通の要件を持つことにより、取引を簡素化する
  • 顧客に対してセキュリティを示す
  • 消費者と企業の双方に、定義されたサイバーセキュリティのレベルについて共通の理解を与える
  • 国内および国際的な規制へのコンプライアンスを確保する

認証取得で製品の安全性はどう変わる?

セキュリティ侵害のほとんどは、製品やサービスの欠点に起因し、それを犯人が利用することになります。認証機関の評価者は、ハードワイヤードのバックドア、不必要に開放されたままのポート、外部のリスナーに情報を与える無線送信、将来の脆弱性を閉じるための安全なソリューションの欠如など、製品を脆弱にする製品設計の欠点を見つけることができます。

また、欧州の一般データ保護規則(GDPR)を含む多くの規制の一部である、収集した個人情報の必要性なども評価の対象となります。

メーカーにとってのメリットは何ですか?

製品のセキュリティを確保するだけでなく、製造者は、その製品が定められた規格とセキュリティレベルに適合していることを、第三者である専門家の評価によって証明することができるようになったのです。この文書は、すべての潜在的な顧客に対して使用することができ、複数のバイヤーに対するさまざまな文書セットの必要性を回避または削減することができます。

確立された国際規格への適合を証明することは、製品の安全性などの分野において、数十年にわたりメーカーとバイヤーの間で重要な手段となっています。また、サイバー技術に必要な専門知識を持たないバイヤーにとっては、保険的な役割も果たしています。

サイバー犯罪に対抗するために

残念ながら、セキュリティの専門家は、この傾向がさらに悪化すると予想しています。このように、被害者が多額の費用を負担することを考えると、利害関係者が取引する企業や組織のセキュリティ対策に目を光らせるのは妥当なことだと思われます。 

「これらの犯罪組織が成長するにつれ、通常のビジネスと同じように成長しています。彼らは、より大規模に、より効率的に、あるいは検知されることなく侵入作戦を行うことができるさまざまなチームを作り上げているのです。これもまた成長し続けるでしょう。』

Kimberly Goody, senior manager of analysis at security firm FireEye, to Wired.com

認証マークは、100%安全なシステムや製品を保証するものではありませんが、潜在的なバイヤーやパートナーに「私たちはお客様のデータを保護するために努力しています」と即座に知らせることができます。 

インターネットを使うには、他のインフラと同じように、ある程度のリスクがあることを受け入れなければなりません。しかし、適切な組織とパートナーを組めば、そのリスクを最小限に抑えることができます。その結果、顧客やパートナーへのアピールにつながります。