悩み(14) サプライチェーンの委託先企業がセキュリティ対策に協力的でない
p社はサプライチェーン全体にわたるセキュリティ対策を推進する観点から、委託先企業に対して対策実施を要求しているが、重要な役割を担っている企業のうち、無視できない割合で消極的な企業が存在していることに悩んでいる。
基本情報
p社の状況
- 中堅の製造機器メーカー。最近はインターネット制御機器の展開も増やしている。
- 納入先は大手の電機メーカー、化学プラント等が中心。
- 素材加工や部品製造を委託している企業を100社以上抱えている
- グローバルな業界再編等の動きを通じて、これまで取引のなかった企業との連携も発生している
p社のプロフィール
| 業種 | 製造業 | |
|---|---|---|
| 規模 | 3,000人 | |
| 管理 体制 | CISOの有無 | 有 |
| 専任のセキュリティ部署 | 有 | |
| サイバーセキュリティ の主管部署 | ITシステム部門 サイバーセキュリティ室 | |
セキュリティ担当者の問題・悩み
納入先企業からは、受注にあたりサプライチェーンを通じた再委託を行う場合には、再委託されることにより生じる脅威に対してセキュリティが十分に確保されることの担保を求められている。
一方で、委託先にセキュリティ対策を求めると、できない事情を挙げて拒否されたり、形だけの対策で済ませようとしたりなどで実効的な対策が進まない。
さらに、委託先にセキュリティ対策を要求する場合、その内容によっては下請法や独占禁止法に抵触する場合もあるとされていることも気になっている。
取組(14) 相手先が自分事として対策を進めてもらえるよう、工夫や配慮を実践
解決に向けたアプローチ
p社のCISOは、経営者と相談の結果、委託先にそれぞれの事情があることを理解しつつ、各社が無理なく実施可能な形で必要な対策を実現するための方法として、次のような取組を行うことにした。
- 『サイバーセキュリティ関連法令Q&Aハンドブック』(NISC)『下請中小企業振興法第3条第1項の規定に基づく振興基準』を参考に、委託先に対してサイバーセキュリティ対策を求めるにあたり、法令等に抵触する可能性のある行為を調査し、問題のない範囲を明確にした。
- 従業員による営業秘密へのアクセスを対象とする常時(24時間365日)監視の導入にあたっては、会社や社員を守るための取組として導入することを社長から従業員等全社に伝えることとした。
- サプライチェーン内の社長同士の会合において、s社の社長がIPAの公表資料等をもとに事業への具体的な負の影響を説明しながらセキュリティ対策の重要性を説き、賛同した社長の企業との間で共同でまず費用のかからない対策を導入することを決め、順次他の企業にも展開していくこととなった。
- 対策の実践を社外にアピールするとともに、社内への意識づけにも有効と期待されることから、IPAのSECURITY ACTION制度での宣言実施を呼びかけた。
- 対策の普及にあたっては、次表のように「このような恐れがあるので、こうする必要がある」という具体例を示すことで、やってほしいことが明確にわかるように努めている。
p社が作成したセキュリティチェックリストの抜粋
| 避けるべき問題 | 実施すべきことのチェックリスト |
|---|---|
| 秘密情報が外部に漏えいする |
|
| マルウェア感染して業務がマヒする |
|
| インシデントのとき連絡がとれずに被害が拡大する |
|
得られた知見
お互いに余裕がない中ではあったが、必要なサイバーセキュリティ対策を講じておかないと、いざインシデントが発生したときに事業停止等で損害額が増大したり、自社の対策不備で他社に迷惑をかけたりする恐れがあることを根気よく説明した結果、相手先でも自分事としてとらえてもらえるようになり、着実に対策が進んでいることを実感している。