プラクティス9-2 サプライチェーンで連携する各社が『自社ですべきこと』を実施する体制の構築
従業員数8,000名規模で上場している輸送機器メーカーのW社は、自社のサプライチェーンとして大企業から零細企業まで100社以上の委託先との取引がある。W社の株主や取引先からサイバーセキュリティリスクへの対応状況を問われることが増えたことから、同社のCISOは委託先がマルウェアに感染したり、サイバー攻撃の被害を受けたりすることで事業が停止し、W社への部品供給が滞るリスクを評価する観点から、委託先の規模毎に数社の状況をヒアリングした。その結果、中小規模の企業を中心に、「セキュリティの必要性はわかっているが、何をしたらよいかわからない」との意見が多く聞かれた。一方で、これらの中小規模の企業に自社と同じ対策を要求することは現実的でなく、W社のCISOはサプライチェーン全体での実効的な対策を実現することを目標に、自社を含めたサプライチェーン各社が何をすべきかの検討を開始した。
図1 W社から見たサプライチェーンのイメージ
W社の実践のステップ
W社のCISOが実践したステップは下記5点である。なお、2次以降の再委託先については1次の委託先の責任において必要な対策を再委託先に求めることを原則としつつ、その実効性について今後把握していくこととした。
①自社と直接取引関係にある委託先の棚卸しを行い、今後も取引が見込まれる委託先について、自社にセキュリティ担当者を設置することが可能かどうかを照会
②①で可能と回答した企業には各社独自の対策を実施することを認め、それ以外の企業については企業規模等に応じてW社より実施すべき対策を連絡(契約にて努力義務とする)
③サプライチェーン参加企業すべてを対象とするセキュリティセミナーを開催
④サイバーセキュリティ対策に関する委託先からの問合せに対応する窓口を設置
⑤年に1回セキュリティ対策状況に関するアンケート調査を実施し、回答結果について今後の改善に向けたフィードバックを提供
W社の実践内容
CISOは委託先への聞き取り結果を踏まえ、「セキュリティ担当者を設置できるかどうか」と企業規模をもとに次表のA~Dの4区分を設けて、それぞれで実施すべき対策を定め、委託契約を通じて実施を求めることとした。ただし予算確保の事情等を考慮し、直近3年以内では未達があっても取引は継続する予定である。
表1 企業の状況に応じた対策の具体的内容
| 区分 | 企業の条件 | 対策内容 | |
|---|---|---|---|
| A | セキュリティ担当者あり |
| |
| B | セキュリティ 担当者なし | 年間売上高●万円以上 又は従業員数●名以上 |
|
| C | 年間売上高○万円以上 又は従業員数○名以上 |
| |
| D | 上記以外 |
| |
このほかサプライチェーン全体にわたる対策実施の支援として、次表に示す取組を行っている。
表2 取引先のための取組
| 取組 | 内容 |
|---|---|
| セキュリティセミナーの開催 |
|
| セキュリティに関する問合せ窓口の設置 |
|
| 対策実施状況に関するアンケートの実施 |
|
これらの取組の実践にあたり、委託先の数が多く、委託内容や相手方の状況も多岐にわたることで様々な課題が生じた。W社のCISOは次ページの表3に示すような工夫によりこれに対応することで、サプライチェーン全体で実効的な対策を実現するという目的に向け、着実な成果を挙げることができた。
表3 W社のCISOが実践にあたって行った工夫
| 取組 | 実践上の課題 | 解決のための工夫点 |
|---|---|---|
| 調達部門への協力依頼 | 工場からの委託先とのやりとりの際、工場の調達部門に協力を依頼することになるが、調達担当者におけるセキュリティ対策の重要性に関する認識の差により協力が得られにくいケースが想定された。 | あらかじめ工場担当役員から各工場長宛を指示を出してもらうことで、以後のやりとりを円滑にすることができた。 |
| 委託する内容に応じた把握レベルの区別 | 「実践のステップ」に記載の通り、2次以降の委託先の管理は1次の委託先の責任において必要な対策を再委託先に求めることを原則としているが、W社の事業上重要な業務については、末端の委託先まで把握可能とすることをW社のリスク管理部門より求められた。 | この実践のため、重要業務の委託契約の様式は通常とは別に定め、監査への協力等を要請することで実効性を確保することとした。 |
| 委託先の多様性を踏まえた対応 | 委託先の中には、W社の得意先でもある大規模な上場企業もあり、そのような場合は2次以降の対策状況の報告等に協力的でない例がみられた。 | 委託先が社会的信用の高い事業者の場合、2次以降の対策についての責任は契約を通じて担保されるものとみなした。 |
表4 W社が実施するアンケート調査項目(抜粋)
| アンケート項目 | 回答の要否(●=要) | |||
|---|---|---|---|---|
| A | B | C | D | |
| 自社におけるデジタル活用の状況(OTを含む) | ● | ● | ● | ● |
| リモートアクセスやリモートワークの状況 | ● | ● | ● | ● |
| 自社のセキュリティ対応方針の規定状況(更新状況、周知状況を含む) | ● | ● | ● | |
| 情報管理に関するルールの整備状況(個人情報保護を含む) | ● | ● | ● | ● |
| IT機器のセキュリティに関するルールの整備状況 | ● | ● | ● | |
| セキュリティ対策に関する役割等の規定状況 | ● | ● | ||
| 従業員に対するセキュリティ教育の実施状況 | ● | ● | ● | |
| 自社におけるサイバーリスクの想定状況 | ● | ● | ||
| サイバーインシデント発生に備えた計画の有無 | ● | ● | ||
| サイバーインシデントに備えた訓練の実施状況 | ● | ● | ||
| デジタル活用やサイバーセキュリティ対策に関して困っていること | ● | ● | ● | ● |
参考情報
サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて(経済産業省、公正取引委員会)
https://www.meti.go.jp/policy/netsecurity/index.html
中小企業等におけるサイバーセキュリティ対策や、発注側企業から取引先へのサイバーセキュリティ対策の支援・要請に関して、独占禁止法や下請法に基づく対応の考え方を整理した資料であり、中小企業側での対策例として「サイバーセキュリティお助け隊サービス」等も紹介している。