情報畑でつかまえてロゴ
本サイトは NTTテクノロスが旬の IT をキーワードに
IT 部門が今知っておきたい最新テクノロジーに関する情報をお届けするサイトです

サイバーセキュリティトレンド

3.サプライチェーン全体でのセキュリティマネジメントが求められる

今回のテーマは、情報セキュリティにおけるサプライチェーンリスクマネジメントへの世の中の意識や状況についてご紹介いたします。

はじめに

前回のコラムでは、事業継続性に対するサイバーセキュリティ対策の重要性をお伝えし、「態勢の伴った体制づくり」を目指すことをお勧めしました。このような体制づくりは非常に重要です。しかし自社だけがこのような体制を構築できればよいという訳ではありません。日々業務を共にしているパートナー企業はどうでしょうか?

パートナー企業の情報セキュリティ状況を知っていますか?

日々業務を共にしているのパートナーである委託先の管理はどの程度行っているでしょうか? 個人情報に関しては個人情報保護法で委託先の監督義務もあるため、意識して管理されているのではないかと思われますが、情報セキュリティ対策状況までは…という企業が多いのではないでしょうか。

2017年3月末に独立行政法人情報処理推進機構(以後、IPA)より「情報セキュリティに関するサプライチェーンリスクマネジメント調査 -調査報告書-」が発行されました。委託先のセキュリティ管理状況が本書で報告されています。(独立行政法人情報処理推進機構「情報セキュリティに関するサプライチェーンリスクマネジメント調査」報告書についてhttp://www.ipa.go.jp/security/fy28/reports/scrm/)

本報告書では、「委託先または再委託先等に対するセキュリティ対策状況の把握の有無(単回答)」のアンケートについては約86%が「把握している」と回答してます。しかし「再委託先または再々委託先以降のサプライチェーンを有する企業におけるセキュリティ対策状況の把握範囲(単回答)」のアンケートについては「再委託先または再々委託先以降も把握している」と回答したのは約47%であるとの報告がありました。委託先までは多くの企業がセキュリティ対策情報を把握しているようですが、再委託先まで把握できている企業は半数にも満たない状況のようです。

私としては予想以上に多くの企業で委託先のセキュリティ状況の把握をしようとしていると感じました。このアンケート内容からはどのレベルまで深くセキュリティの状況を把握できているのか、は分かりませんが、まずは委託先のセキュリティ状況の把握を試みてみようという流れは確実に進んでいるのではないかと思われます。それに比べて、再委託先まで把握できている企業が少ない、というのは、把握するのがそう簡単ではない、という現れではないでしょうか。

サプライチェーンセキュリティマネジメントを進めるためには、サプライチェーンの末端までしっかりと管理をしていく態勢が必要ですが、1社で全てを管理するのは容易なことではありません。社間での協力が必要となります。IPAの報告から各社が直接関わるパートナーとの委託先管理は実施しようとしているようですので、個人情報に限らず、サイバー攻撃対策等についてもしっかりと管理項目を定め、監査によるチェックも実施し、それぞれのパートナーが次のパートナーに対して同様に仕組みを確実に伝播していくことがサプライチェーンセキュリティの成功の鍵になるのではないでしょうか。

これを難しいと思われる人も多いかとは思われます。しかし、日々の業務で財やサービスやモノのサプライチェーンでは、しっかりとそれらが流れていく仕組みを構築してきたのではないでしょうか。セキュリティマネジメントも同様なのです。セキュリティマネジメントのルールや意識や対策についてもしっかりと連携をとって流れていく仕組みをパートナーと一緒にセキュリティマネジメントチェーンとして構築していくことが重要です。

このセキュリティマネジメントチェーンがサプライチェーンと一緒につながることで、全てのサプライチェーンの末端までを効率的、効果的に管理していくことが可能になります。今後は、セキュリティマネジメントチェーンの要件をクリアしないとサプライチェーンに加わることができない、あるいは、サプライチェーンから排除されてしまうかもしれません。セキュリティの意識を持てない企業は淘汰されかねない時代がもうすぐやってくるのではないでしょうか。

情けは人のためならず

『情けは人のためならず』ということわざはご存知でしょうか。少し懐かしい話になりますが2000年ごろに意味を取り違えて覚えている人が多いということを文化庁による『国語に関する世論調査』にて報告されたことわざです。そのことを取り上げられたニュース等で話題になったことで記憶にある方もいらっしゃるのではないでしょうか。

サプライチェーンで繋がっている昨今、セキュリティに関しては、当社は当社、他社は他社、とは言い切れません。サプライチェーンセキュリティを考える上で、この『情けは人のためならず』の本来の意味での心が大切であると私は考えています。

まだ何もしていないという場合には、まずは率先して直接の委託先のサイバーセキュリティ対策について最低限のチェック項目だけでも準備して、委託先と一緒に協力してチェックをすることから始めてはいかがでしょうか。情けではありませんが、めぐり巡ってよいことが起こるかもしれません。

おわりに

今回は情報セキュリティにおけるサプライチェーンリスクマネジメントへの世の中の意識や状況を少しご紹介しました。これを機会に会社をとりまくサプライチェーン全体の情報セキュリティの向上を意識していただければ幸いです。

「サイバーセキュリティトレンド2016」無料配布中!
著者プロフィール
彦坂 孝広

NTTテクノクロス株式会社
ビジネスソリューション事業部
第二カンパニー

彦坂 孝広