2024年6月4日
多様化するサプライチェーン上のサイバー攻撃の起点は広く拡散しており、大企業等と直接の取引がない中小企業であっても、サプライチェーンを通じてつながりがある全ての企業において、地政学リスクや自然災害等のリスクに加えて、サイバー攻撃等によるリスクを考慮したリスクマネジメントが求められています。
クラウドなどの外部サービスを利用したり、自社システムと API 連携で他社のシステムが接続されたりするなど、企業間の繋がり方は多様化しています。
このような状況において、従来の受発注関係におけるセキュリティ対策のように、相手に提供する情報の保護を要求するのみでは、サプライチェーン由来のサイバーセキュリティリスクへの対策として不十分です。
自社の国内外拠点、系列企業やサプライチェーンの国内外ビジネスパートナーにおいて適切なサイバーセキュリティ対策が行われていないと、これらの企業を踏み台にして自社が攻撃されることもあります。
その結果、他社の2次被害を誘発し、加害者となるおそれもあります。また、緊急時の原因特定などの際に、これらの企業からの協力を得られないことにより事業継続に支障が生じます。
委託先選定に際して地政学リスクや自然災害等のリスクを考慮しなかった結果、想定外の事業停止に追い込まれます。
システム管理などの委託業務において、自組織で対応する部分と委託する部分の境界が不明確となり、対策漏れが生じるおそれがあります。
業界毎の事情やサプライチェーン内での役割分担、相手先の対応能力等の状況に応じて、以下に例示するような対策を実践しましょう。
系列企業、サプライチェーンのビジネスパートナーやシステム管理の委託先等がSECURITY ACTIONを実施していることを確認する。なお、ISMS等のセキュリティマネジメント認証を取得していることがより効果的です。
委託先選定にあたっては、コストや体制、技術力のみでなく、環境リスク(自然災害やパンデミック等)、地政学リスク(テロや政治的な不安等)及び経済リスク(経済危機や原料の価格変動等)の影響を考慮しましょう。
サプライチェーン上での対策の底上げ手段として、サイバーセキュリティお助け隊等の中小企業向け施策を活用しましょう。
緊急時に備え、委託先に起因する被害に対する補償手段の確保として、委託先に対してサイバー保険への加入を推奨します。
他社から業務委託等を請ける場合には、契約時に委託元と合意した情報の取扱いなどのセキュリティ関連の要求事項を遵守しましょう。
サプライチェーンにおけるサイバーセキュリティ対策を担保する手段として、第三者による評価検証結果を活用しましょう(認証制度の活用、助言型外部監査の実施等)。
※1 AV-Test 2021 の平均スコア、Sophos Managed Threat Response の現在のパフォーマンス指標
※2 サイバーソリューション大手顧客レビューサイトG2の2023年冬で、総合評価1位を獲得
AXIS総合セキュリティパックは、
経済産業省の政策実施機関であるIPA(独立行政法人情報処理推進機構)が支援する
「サイバーセキュリティお助け隊」認定サービスです
ご希望の日程でご要望や状況についてお伺いさせていただきます。オンラインミーティングもご用意しています。
お打ち合わせ内容を基に、最適なコースとお見積り金額をご提案いたします。
ご契約後、システム導入となります。
