今求められる、サプライチェーン全体
でのセキュリティレベル向上

近年、医療機関、製造業、重要インフラなどにおいてランサムウェアの被害が発生しているが、グループ会社や関連会社から侵入されているケースが目立っている。いわゆるサプライチェーンを経由した侵害だ。独立行政法人情報処理推進機構(IPA)の情報セキュリティ10大脅威でも、「サプライチェーンの弱点を悪用した攻撃」はここ何年か3位以内にランクインしており、注目を集めている。サプライチェーン企業のセキュリティレベル向上のため、その中心となる大企業はどのような対応が求められるのだろうか。

サプライチェーン全体を意識する

2023年3月に改訂された経済産業省・IPAの「サイバーセキュリティ経営ガイドライン Ver3.0」では、改訂の背景として「サプライチェーンを介したサイバーセキュリティ関連被害の拡大」を挙げており、経営層に対し、デジタル環境を介した外部とのつながり全てを含むサプライチェーン全体を意識したサイバーセキュリティ対策を求めている。

 ただ、取引先企業のセキュリティレベル向上を求めるサプライチェーンの中心となる大企業においては、独占禁止法や下請代金支払遅延等防止法(以降、下請法)に抵触しないかを気にして、対応が慎重になっているところもあるのではないだろうか。取引先企業へのセキュリティ対策の要請について、公正取引委員会も見解を示している。

セキュリティ対策要請時の注意点

「取引先に対し、セキュリティ体制の構築といったセキュリティ対策の実施要請を検討しているが、独占禁止法や下請法上、どのような行為が問題となるか」といった疑問に対し、公正取引委員会からは以下のような見解が示されている。※1

(1)取引の対価の一方的決定
セキュリティ対策によって生じる取引先のコスト上昇分を考慮することなく、取引価格の据え置きや低減を行った場合は独占禁止法や下請法上、問題となる可能性がある。

(2)セキュリティ対策費の負担の要請
取引先に対し、セキュリティ対策費などの名目で金銭の負担を要請したり、役務などを提供させたりした場合は独占禁止法や下請法上、問題となる可能性がある。

(3)購入・利用強制
取引先に対し、合理的な必要性がないにもかかわらず、自己の指定する商品の購入や役務の利用を強制した場合は独占禁止法や下請法上、問題となる可能性がある。

 対策の要請が独占禁止法や下請法上に抵触するのではないかという悩みは、「サイバーセキュリティ経営ガイドライン Ver3.0 実践のためのプラクティス集 第4版」※2でも取り上げられている。

セキュリティ対策要請までの流れ

図1:評価結果イメージ

 取引先へのセキュリティ対策要請までの流れについて、大規模製造業(評価者)での実施例を二つ紹介する。

・評価者は、取引先に対しセキュリティ対策状況に関するチェックシートを送付し、それに回答してもらう。そして、その回答を確認し、対策状況が思わしくないところに対して、コンサルタントを派遣し具体的な状況をヒアリングする。コンサルタントはヒアリング結果をまとめ、評価者に提出する。評価者はその情報を調達部門に共有し、調達部門から取引先にセキュリティ対策を依頼する。

・評価者は、セキュリティレーティング(評定)ツールを使い、インターネット上に公開されている情報から、取引先のドメインに関係する情報を収集・分析し、評価を行う(コンサルタントやサービス提供業者に依頼し実施)。収集・分析は例えば以下のような観点で実行される。
 ・不要な通信ポートの有無
 ・ソフトウェアバージョンチェック
 ・マルウェア感染有無 など

 そのほか、通信データの分析も含め、さまざまな角度からチェックを行い、継続的に評価、レポーティングを行う。評価では、前述した複数の観点に基づいてセキュリティ状況を数値化する(図1)。また、複数の企業の評価結果を比較し、対策すべき企業の優先度を判断する(図2)。

 判断した後は、評価結果と対策優先度をまとめ、評価者に提出する。評価者はその情報を調達部門に共有し、調達部門から取引先にセキュリティ対策を依頼する。

図2:評価結果の比較イメージ

経営戦略としてのセキュリティ対策

 サプライチェーンには、国内外拠点、グループ会社、業務委託先、部品調達先にとどまらず、クラウドサービスの提供者などデジタル環境を介した関連企業も含まれる。どの企業もどこかのサプライチェーンに含まれると認識してほしい。

 セキュリティ対策は、もはやコストではなく経営戦略だと考えた方が良い。EUの企業からセキュリティ対策を行わなければ取引を中止すると宣言され、急いでセキュリティ対策を行う企業もある。

 また、ESG(Environment, Social, Governance)投資の拡大に伴う、コーポレートガバナンスおよびエンタープライズリスクマネジメントの改善に向けた取り組みへの関心が高まっている。実際に、上場企業などが開示している企業の情報「有価証券報告書」などを見ていただければ、多くの企業においてセキュリティ対策に関する記述があることが分かる。ぜひ、読者の皆さまもいま一度、世の中の動向に目を向けていただき、セキュリティ対策の重要性を再確認していただきたい。


※1 参考資料:公正取引委員会「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」
https://www.jftc.go.jp/dk/guideline/unyoukijun/cyber_security.html
※2 参考資料:IPA「サイバーセキュリティ経営ガイドライン Ver3.0 実践のためのプラクティス集 第4版」
https://www.ipa.go.jp/security/economics/hjuojm00000044dc-att/cms_practice_v4.pdf