企業等の組織では、サービスを提供するための一連の流れ(サプライチェーン)のなかで、一部の業務を他組織に委託しているケースがあります。組織を狙ったサイバー攻撃では、サイバーセキュリティ対策が弱いところを狙うのが常套手段であり、昨今は、サプライチェーン内でサイバーセキュリティ対策が弱く、委託元からのガバナンスを効かせにくい委託先の企業が狙われています。このような背景から、サプライチェーン対策の重要性が高まっているため、今回のテーマとして取り上げます。
■ サプライチェーン対策のキーワードは「ONE TEAM」
図表はサプライチェーンの弱点を悪用したサイバー攻撃の例であり、A社の委託先B社と、その再委託先C社が描かれています。この例では、C社の社員の不注意によってC社のPCがウイルスに感染し、A社の機密情報が漏洩しています。このようなサイバーセキュリティインシデントを起こさないためには、自組織内だけでなく、委託先や再委託先に至るまで、一体となってサイバーセキュリティに関する知識や意識を向上させる必要があります。2019年の流行語大賞はラグビー日本代表の「ONE TEAM」でしたが、サプライチェーン対策においてもONE TEAMになることが重要なのです。
■ ONE TEAMになるために
サイバーセキュリティに関する知識や意識を向上させるといっても、サイバーセキュリティ教育を行えばよいというものではなく、その内容も重要です。各職場の業務内容に即した現実味のある事例を題材にする、あるいはゲーム性のある親しみやすい教材を用いるなど、受講者の関心を引く工夫を講じ、サイバーセキュリティ教育の形骸化を防止することが大切です。
また、サイバーセキュリティ要員を十分に確保することも必要です。いかに優秀な人材がいたとしても、サプライチェーンの隅から隅までを少人数でカバーするのは無理があります。委託先や再委託先も含め、各職場にサイバーセキュリティ対策を主導できる人材が配置されている状態が望ましいと考えます。
以上のような対策によって、異なる組織同士がONE TEAMとなり、サプライチェーン全体のサイバーセキュリティレベル向上へとつながるのです。
もっとも、委託先との契約形態によっては、委託先における教育や要員配置に対して直接関与することが難しい場合もあります。しかし、その場合でも、可能な限りガバナンスを効かせる対策をとっていただきたいと思います。具体的な対策内容として、経済産業省の「サイバーセキュリティ経営ガイドラインVer2.0」では次のような事柄が挙げられています。
- 委託先のサイバーセキュリティ対策の内容を明確にしたうえで契約を交わす
- 委託先のサイバーセキュリティ対策状況(監査含む)の報告を受け、把握する
- 機密情報を委託先に預ける場合は、委託先の経営状況等も踏まえ、情報の安全性の確保が可能かどうか定期的に確認する
■ 根気強く取り組む
ラグビー日本代表が「ONE TEAM」をスローガンに掲げたのは16年のことでした。それから3年もの時を経て、史上初のベスト8というかたちで実を結びました。サプライチェーン対策も一朝一夕には実現できませんが、ラグビー日本代表に倣い、根気強く取り組んでいただきたいと思います。