サプライヤーを含めたサプライチェーンの情報セキュリティ保証が買い手企業の責任となるときｰ日本経済新聞 (2020年9月30日)

サプライヤーを含めたサプライチェーンの情報セキュリティ保証が買い手企業の責任となるときｰ日本経済新聞 (2020-09-30)
「サイバー攻撃供給網の穴」という2回の連載が9月14日～15日の日本経済新聞に掲載されました。まず9月15日の「<サイバー攻撃供給網の穴>(上) トヨタの取引先を脅迫　身代金要求→拒否で「機密公開」、防御甘い中小が入り口」では、トヨタ自動車の金型サプライヤーのTMW社が身代金要求ウイルス「MAZE」によりデータ流出し、その公開脅迫が行われた事例を取り上げました。そしてサプライヤー経由で買い手企業の機密情報を狙う「サプライチェーン攻撃」が急増していることを警告しました。そして翌16日には、「<サイバー攻撃供給網の穴>(下)「次は取引停止」迫る大手各国で規制強化、中小は人・カネ乏しく苦慮」と対策面に関する内容が続きました。問題点は、中小企業で人材やカネが不足していることだけではなく、異なる企業間で一定レベルのセキュリティ保証を行わねばならない点にあるのではと思います。同一企業内であれば、単一のセキュリティポリシーの下に抜け穴が無いセキュリティ設計が行えますが、異なる企業間ではそうはなりません。ここにサプライチェーン情報セキュリティの難しさがあります。しかしサプライヤーの不備を理由に、単純に「取引停止」にするわけにもいかないと思います。買い手企業のビジネスにとって重要で替えが効かないサプライヤーであるほど、そうはいかないと思われます。ゆえに、記事で紹介されている「NIST SP800-171」ガイドラインのような、サプライチェーン上の全企業が最低限準拠すべき規則がまず定められること、そしてその遵守状況が買い手企業の責任でチェックされるような方式が今後は日本国内企業にも求められるようになるのではと推測します(CSRアンケートのようなものが、情報セキュリティでも始まりそうです)。既に、防衛産業関連企業に対しては、防衛省が上記ガイドライン準拠を納入企業に求めることが2018年に報じられています(下記、It's購買系記事も参照)。なお記事では、海外の自動車業界や通信業界の今後の動向も表にまとめられて、参考になると思います。なお、購買部門で独自の部門情報セキュリティ強化の必要性を説く論説がみられるますが、これは同一企業内に複数セキュリティ対策を導入することで、脆弱性(”穴”)を作りだしかねない行為ですので、慎むべきと考えます(情報システム部門の全社統一ポリシーに準拠し、必要があればそれを強化すべき)。 <サイバー攻撃供給網の穴>(上) トヨタの取引先を脅迫　身代金要求→拒否で「機密公開」、防御甘い中小が入り口-日本経済新聞 (2020年9月15日) https://www.nikkei.com/article/DGKKZO63822900U0A910C2TJ3000/ <サイバー攻撃供給網の穴>(下)「次は取引停止」迫る大手　　各国で規制強化、中小は人・カネ乏しく苦慮-日本経済新聞 (2020年9月16日) https://www.nikkei.com/article/DGXMZO63805230U0A910C2TJ1000/ 対策強要下請法に抵触もｰ日本経済新聞 (2020年9月16日) https://www.nikkei.com/article/DGKKZO63883630V10C20A9TJ1000/ トヨタ取引先にサイバー攻撃、データ流出かｰ日本経済新聞 (2020年7月16日) https://r.nikkei.com/article/DGXMZO61601890W0A710C2TJ2000 サイバー攻撃、狙われる供給網の「穴」　取引先から漏洩-日本経済新聞 (2020年3月28日) https://www.nikkei.com/article/DGXMZO43040120Y9A320C1TJ1000/ サプライチェーン・サイバーセキュリティ～取引先へのサイバーセキュリティ調査はどうなりそうかｰIt's購買系ブログ(2018年4月3日) http://www.itscobuy.com/blog/?p=575