指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
指示内容
サプライチェーン全体にわたって適切なサイバーセキュリティ対策が講じられるよう、国内外の拠点、ビジネスパートナーやシステム管理の運用委託先等を含めた対策状況の把握を行わせる。
ビジネスパートナー等との契約において、サイバーセキュリティリスクへの対応に関して担うべき役割と責任範囲を明確化するとともに、対策の導入支援や共同実施等、サプライチェーン全体での方策の実効性を高めるための適切な方策を検討させる。
実践に向けたファーストステップ
昨今、企業を取り巻くサプライチェーンは広がりを見せており、システム開発・運用等、様々な業務において系列企業だけでなく、多くのビジネスパートナーや委託先等が携わっている。
サイバー攻撃者は、大企業と比較してサイバーセキュリティ対策が進んでいない中小の委託先等を侵入口とし、そこからシステム・ネットワークを通じて繋がっている企業を攻撃することもあるため、ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握が望まれる。
実践する上でのファーストステップとしては下記の2点が考えられる。
- サイバーセキュリティリスクのある委託先の特定
- サイバーセキュリティリスクのある委託先に対するサイバーセキュリティ対策状況の把握
想定される企業の状況
指示9の実践に向けては下記のような状況や課題が想定されるため、本節ではそれらに対応した企業の事例をプラクティスとして紹介する。
- 業務を主管する部署がそれぞれ業務委託しており、会社として委託先を把握していないため、サイバーセキュリティリスクがある委託先を網羅的に調査し、特定することができない
- サイバーセキュリティ対策の実施状況を、どのような観点で確認すべきか分からない
- 委託先にサイバーセキュリティ対策を実践させたいが、規模などの条件が多様で一律の対策を求めることができない