最新セキュリティマネジメント（第30回）サプライチェーンの一員としてのセキュリティ対策

　第4版で特に注目したいのが、サプライチェーン全体でサイバーセキュリティ対策を講じるため、実践のファーストステップとして「サプライチェーンで連携する各社が『自社ですべきこと』を実施する体制の構築」という新しいプラクティス（9-2）が追加された点だ。この事例から、求められるセキュリティ対策が見えてくる。

　プラクティス（9-2）では、上場している従業員数8000人規模の輸送機器メーカーの例を挙げている。このメーカーは大企業から零細企業まで100社以上の委託先との取引があり、規模別に数社に状況をヒアリングしたところ、中小規模の企業を中心に「どう対策をして良いのか分からない」という意見が多く聞かれたという。そこで、各社が何をすべきかの検討を開始した。

　まず、今後も取引が見込まれる委託先にセキュリティ担当者を設置できるかを照会し、できないと回答した企業には、企業規模に応じて実施すべき対策を連絡した。さらに、サプライチェーンに参加する全ての企業を対象に、セミナーを実施したりセキュリティ対策の問い合わせ窓口を設けたり、対策状況のアンケート調査を毎年実施することなどを決めたという。

　各社が実施すべき対策としては、一定規模の企業にはエンドポイントでの検知と対応のソリューションであるEDR（Endpoint Detection and Response）の自社運用か、外部のEDR付きのサポートサービスの契約を求めている。上記以外の規模の企業には、委託業務用の機器はインターネットに接続しないよう求め、接続する必要がある場合には上記クラスの区分と同様の対策を求めている。

　この事例には、同社が実施しているアンケート調査項目の抜粋も掲載されている。一定規模の企業に対しては、セキュリティ対応方針の規定、情報管理に関するルールの整備、セキュリティ教育の実施などについての回答を求めている。これらはサプライチェーンの一員として中小企業に求められる最低限のセキュリティ対策といえるのだろう。

　また、外部のEDRありのサポートサービスとして、IPAが推進している「サイバーセキュリティお助け隊サービス」を紹介している。これは、中小企業・小規模事業者向けのサービスで、IT導入補助金の支援も受けられる。サプライチェーンの一翼を担う以上、企業規模に関係なく企業の責任としてこうしたサイバーセキュリティ対策を求められると覚悟して、人員や費用などをあらかじめ想定しておくことをお勧めする。