プラクティス9-1 サイバーセキュリティリスクのある委託先の特定と対策状況の確認
従業員数3,000名規模の製造業であるV社では、取引先がマルウェアに感染し、ある部品の供給が一時滞った経験を持つ。その際は、在庫で対応でき自社ビジネスに大きな影響はなかったものの、V社は自社のサイバーセキュリティを担当する情報システム部に相談の上、サイバーセキュリティリスクのある取引先/委託先に対して、サイバーセキュリティ対策状況を確認することとした。
V社の実践のステップ
情報システム部長が実践したステップは下記の3点である。
- ①委託元部署へのアンケートを通じて、取引先/委託先に対して業務におけるインターネットの利用等、サイバーセキュリティリスクの有無を調査する
- ②サイバーセキュリティリスクのある取引先/委託先に対して、サイバーセキュリティ対策状況に関するアンケート調査を実施する
- ③把握した課題やリスクは一覧化し、経営者に報告するとともに、組織として対応方針を検討する
V社の実践内容
上記のステップに則り、まず情報システム部長は社内の調達に関連する情報が集まる法務部と相談の上、委託元部署へのアンケートを通じて、主要な取引先/委託先の洗い出しとサイバーセキュリティリスクの有無を調査した。
表1 委託元部署へのアンケート表の例
次に、情報システム部長はサイバーセキュリティリスクがあると判断した取引先/委託先に対して、サイバーセキュリティ対策の実施状況を把握するため、アンケート表を送付した。なお、アンケート表作成においては、質問を依頼する委託元部署、並びに回答する取引先/委託先の負荷を考慮し、セキュリティに関するガイドラインから主要なポイントを抽出し、必要最低限の質問事項とした。
表2 V社の取引先/委託先へのアンケート表の例
上記のアンケート表にて、サイバーセキュリティ対策状況に懸念がある取引先/委託先については、現場判断で即時に取引先/委託先を変更する等の対応が困難な場合もあるため、調査結果を経営者へ報告するとともに、組織としてのリスク対応方針を検討することとした。
図1 調査結果の経営者報告資料のイメージ