情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. セキュリティエコノミクス
  4. プラクティス・ナビ
  5. プラクティス9-2 サプライチェーンで連携する各社が『自社ですべきこと』を実施する体制の構築

プラクティス9-2 サプライチェーンで連携する各社が『自社ですべきこと』を実施する体制の構築

公開日:2026年4月28日

背景

従業員数8,000名規模で上場している輸送機器メーカーのW社は、自社のサプライチェーンとして大企業から零細企業まで100社以上の委託先との取引がある。W社の株主や取引先からサイバーセキュリティリスクへの対応状況を問われることが増えたことから、同社のCISOは委託先がマルウェアに感染したり、サイバー攻撃の被害を受けたりすることで事業が停止し、W社への部品供給が滞るリスクを評価する観点から、委託先の規模毎に数社の状況をヒアリングした。その結果、中小規模の企業を中心に、「セキュリティの必要性はわかっているが、何をしたらよいかわからない」との意見が多く聞かれた。一方で、これらの中小規模の企業に自社と同じ対策を要求することは現実的でなく、W社のCISOはサプライチェーン全体での実効的な対策を実現することを目標に、自社を含めたサプライチェーン各社が何をすべきかの検討を開始した。

  • 図2-9.2 W社から見たサプライチェーンのイメージは以下のテキスト版をご確認ください。
    図2-9.2 W社から見たサプライチェーンのイメージ
図2-9.2 W社から見たサプライチェーンのイメージ(テキスト版)

サプライチェーンには、取引先と委託先の他に、再委託先がある。

W社の実践のステップ

W社のCISOが実践したステップは下記5点である。なお、2次以降の再委託先については1次の委託先の責任において必要な対策を再委託先に求めることを原則としつつ、その実効性について今後把握していくこととした。

  1. 自社と直接取引関係にある委託先の棚卸しを行い、今後も取引が見込まれる委託先について、自社にセキュリティ担当者を設置することが可能かどうかを照会
  2. 1で可能と回答した企業には各社独自の対策を実施することを認め、それ以外の企業については企業規模等に応じてW社より実施すべき対策を連絡(契約にて努力義務とする)
  3. サプライチェーン参加企業すべてを対象とするセキュリティセミナーを開催
  4. サイバーセキュリティ対策に関する委託先からの問合せに対応する窓口を設置
  5. 年に1回セキュリティ対策状況に関するアンケート調査を実施し、回答結果について今後の改善に向けたフィードバックを提供

W社の実践内容

CISOは委託先への聞き取り結果を踏まえ、「セキュリティ担当者を設置できるかどうか」と企業規模をもとに次表のA~Dの4区分を設けて、それぞれで実施すべき対策を定め、委託契約を通じて実施を求めることとした。ただし予算確保の事情等を考慮し、直近3年以内では未達があっても取引は継続する予定である。

 
表2-9.3 企業の状況に応じた対策の具体的内容
区分
企業の条件
対策内容
A
セキュリティ担当者あり
-原則として各社で対策を立案・実施・評価
-年1回のアンケートに回答
B
セキュリティ担当者なし
年間売上高〇万円以上又は従業員数〇名以上
-自社でのEDR運用又はサイバーセキュリティお助け隊サービス(EDRあり)を契約
-年1回のアンケートに回答
C
年間売上高〇万円以上又は従業員数〇名以上
-サイバーセキュリティお助け隊サービス(EDRあり)を契約
-年1回のアンケートに回答
D
上記以外
-自社内で業務用機器とインターネットを接続しない
(必要がある場合は区分Cに従う)
-年1回のアンケートに回答

このほかサプライチェーン全体にわたる対策実施の支援として、次表に示す取組を行っている。

表2-9.4 取引先のための取組
取組
内容
セキュリティセミナーの開催
-サプライチェーン参加企業すべてが参加可能(再委託先を含む、任意参加)
-動画資料として後日参照も可能原則として各社で対策を立案・実施・評価
セキュリティに関する問合せ窓口の設置
-自社にセキュリティの専門知識を有する人材がいない委託先(再委託先を含む)からの問合せに対応
-サプライチェーン内の問題を早期発見する手段としても活用
対策実施状況に関するアンケートの実施
-年に1回セキュリティ対策状況に関するアンケート調査(表2-9.6)を実施
-表1の区分A~Dに応じて、回答すべきアンケート項目のボリュームを調整することで、委託先の負担軽減に配慮
-委託先がプライバシーマークやISMS認証を取得している場合、それらから機械的に対応づけられる項目については回答を省略可能とする
-回答企業のモチベーション向上のため、回答結果をもとに今後の改善に向けたアドバイスをフィードバックとして提供

これらの取組の実践にあたり、委託先の数が多く、委託内容や相手方の状況も多岐にわたることで様々な課題が生じた。W社のCISOは次ページの表2-9.5に示すような工夫によりこれに対応することで、サプライチェーン全体で実効的な対策を実現するという目的に向け、着実な成果を挙げることができた。

表2-9.5 W社のCISOが実践にあたって行った工夫
取組 実践上の課題 解決のための工夫点

調達部門への協力依頼

工場からの委託先とのやりとりの際、工場の調達部門に協力を依頼することになるが、調達担当者におけるセキュリティ対策の重要性に関する認識の差により協力が得られにくいケースが想定された。

あらかじめ工場担当役員から各工場長宛に指示を出してもらうことで、以後のやりとりを円滑にすることができた。

委託する内容に応じた把握レベルの区別

「実践のステップ」に記載の通り、2次以降の委託先の管理は1次の委託先の責任において必要な対策を再委託先に求めることを原則としているが、W社の事業上重要な業務については、末端の委託先まで把握可能とすることをW社のリスク管理部門より求められた。

この実践のため、重要業務の委託契約の様式は通常とは別に定め、監査への協力等を要請することで実効性を確保することとした。

委託先の多様性を踏まえた対応

委託先の中には、W社の得意先でもある大規模な上場企業もあり、そのような場合は2次以降の対策状況の報告等に協力的でない例がみられた。

委託先が社会的信用の高い事業者の場合、2次以降の対策についての責任は契約を通じて担保されるものとみなした。
表2-9.6 W社が実施するアンケート調査項目(抜粋)
アンケート項目 回答の要(〇= 要)
 A  B  D
自社におけるデジタル活用の状況(OTを含む)  〇  〇  〇  〇
リモートアクセスやリモートワークの状況  〇  〇  〇  〇
自社のセキュリティ対応方針の規定状況(更新状況、周知状況を含む)  〇  〇  〇  
情報管理に関するルールの整備状況(個人情報保護を含む)  〇  〇  〇  〇
IT機器のセキュリティに関するルールの整備状況  〇  〇  〇  
セキュリティ対策に関する役割等の規定状況  〇  〇    
従業員に対するセキュリティ教育の実施状況  〇  〇  〇  
自社におけるサイバーリスクの想定状況  〇  〇    
サイバーインシデント発生に備えた計画の有無  〇  〇    
サイバーインシデントに備えた訓練の実施状況  〇    
デジタル活用やサイバーセキュリティ対策に関して困っていること  〇  〇  〇  〇

参考情報

  1. サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて(経済産業省、公正取引委員会)
    • 経済産業省:サイバーセキュリティ政策
    • 中小企業等におけるサイバーセキュリティ対策や、発注側企業から取引先へのサイバーセキュリティ対策の支援・要請に関して、独占禁止法や下請法に基づく対応の考え方を整理した資料であり、中小企業側での対策例として「サイバーセキュリティお助け隊サービス」等も紹介している。
前のページへ 次のページへ

更新履歴

  • 2026年4月28日

    新規公開