サプライチェーンセキュリティマネジメントについて|サイバーセキュリティ.com

サプライチェーンセキュリティマネジメントについて



サイバーセキュリティ経営ガイドライン対応の進め方第5回となる今回は、指示5「系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握」について説明します。

今回のお話は、サイバーセキュリティを考える上で、割と「肝」の部分です。「経営者の認識不足」と並んで、日本のサイバーセキュリティリスクの大きな原因と言っても良いかも知れません。

“自分のところだけでなく、末端の関係者の行為まで責任を持ってセキュリティを確保しなければいけないよ”という内容です。しっかりと確認しておきましょう。

国内最大級の個人情報漏洩を起こしたB社

サプライチェーンのセキュリティマネジメントについて解説する前に、ある事例を振り返ってみましょう。

国内最大級の個人情報漏洩を起こしたB社の事件です。この事件について、「B社が情報漏洩事件を起こした」認識している方もいらっしゃるのですが、実行犯はB社の社員ではありません。B社の「子会社」にやってきた「派遣社員」です。

ですが、情報を漏洩されてしまった被害者は“B社を信用して”個人情報を預けたのですから、被害に対する責任はもちろんB社にあります。

つまり、B社が「監督責任を果たした」と主張するためには、この派遣社員に至るまで、セキュリティマネジメントが為されていたと証明することが必要ということです。

今後懸念されるサイバーテロ問題

B社は個人情報漏洩でしたが、今後はもっと大きな事件が起きるかも知れません。「サイバーテロ」の問題です。サイバー攻撃と言うと、WEBサイトを改ざんしたり、情報を盗んだりするイメージが多いでしょうが、サイバーテロはその様な次元に留まりません。

もしも下請け業者にサイバーテロリストがいたら

今のご時世、ベンダーにシステムを発注しても、下請けや協力会社が大量に関係してきますね。その内の1人がサイバーテロリストだったとしたら?どのようなことが起きるでしょうか。

例えばテロリストの彼が、日本国内を混乱させるため、ある日ある時間になると、システムに過電圧をかける「時限プログラム」を埋め込んだとします。

彼が設定した日時、大規模な停電が発生し街は大混乱に陥ります。そしてその混乱に乗じ、彼が所属する組織は破壊や誘拐などのテロ行為を日本各地で行い始めるのです。

…この様に、まるでパニック小説のようなことも、サプライチェーンマネジメントが適切に行われていなければ、たった1人のプログラマであっても十分可能と言えます。

下請けや協力会社であっても管理責任が発生する

だからこそ、下請けや協力会社の管理体制をしっかり確認しなければなりませんし、出来た製品やプログラムに問題がないか、しっかりテストしなければならないのです。

今、日本国内では、この部分が非常に弱いと感じます。

  • B社の事件
  • 度重なるマイナンバーシステムのトラブル
  • TOTOの券面一致事件

これらは、発生状況の内容を見る限り、チェック体制・受入れテスト体制が正常に機能していれば、防げた事例です。

「我々が作ったものではない、下請けがやったことだ」は通用しません。下請けがやったことでも、全て自分たちが責任を取るという認識で、チェック・受入れをする意識が今、求められているのです。

必ず自分自身で確認を行うことが大切

ここで、もう1つ日本国内での問題点を挙げます。

それはプライバシーマークやISMS等を取得していると、それだけで“その会社は問題なし”と評価してしまう傾向があることです。

業務委託先がプライバシーマークやISMS等を取得している場合であっても、まずは下記2点を確認すようにしましょう。

  1. 依頼する業務が、マーク認証の適用範囲内であるか
  2. 審査報告書が適切なものであるか

まず1については、プライバシーマークは個人情報しか対象ではありませんし、ISMSは取得業務が限定されることが多くなります。業務を委託するのであれば、必要な範囲の認証を受けているかをまず確認しましょう。

次に2については、業界にいる人間としては忸怩たる思いがあるのですが、情報セキュリティに関する力量の低い審査員が、結構居るという事実です。資格があるのになぜ力量が低いのか、と思われるかも知れませんが、これには下記に挙げる2つの理由が関係します。

審査員によって基準が異なる

力量不足の審査員が存在してしまう理由の1つには、「個人情報バブル」と言われた個人情報保護法施行前後、あまりにも認証希望企業が増えすぎて審査員が不足し、情報セキュリティ業務経験なしでも資格が取得できたことが影響しています。

そしてもう1つの理由は、情報セキュリティ技術はどんどん新しくなるため、常に学習を続けないと追いつかなくなる、ということです。

審査結果だけで判断するのは危険

本来であれば、もし審査員の力量が不足するのであれば、審査機関が審査員の力量不足をカバーできる技術専門家を同行させることになっています。チームの総合力で審査するのですね。

しかし、コストの面からか審査員に任せきりになっている機関も残念ながら少なくありません。

力量の無い者が行う審査であれば、指摘事項も優良事項も納得の行くものは報告できませんから、審査報告書を見ればすぐわかります。審査報告書を確認し、不安があれば自ら追確認を行いましょう。

最後に

サイバーセキュリティ分野に限らず、これまで何かしら問題が発生した際に経営者や責任者が行う記者会見では、「下請けがやったこと」「我々は知らなかった」等の、責任を回避する発言が多く見受けられました。その結果、企業の信頼を著しく失墜させ、最終的には事態の責任を取らされた経営者も数多くいます。

サイバーセキュリティも同様です。「下請けがやったこと」「我々は知らなかった」は通用しないのです。

しかも「サプライチェーンマネジメント」の要求が、国が出したガイドラインに明確に記載されたのです。外注したとしても、“末端に至るまで安全を確保する責任を負う”これが今、企業に要求されていることです。

特に「重要インフラ」に含まれる業種においては、間もなく発表される予定の「重要インフラの情報セキュリティ対策に係る第4次行動計画」にも“サプライチェーンを含めた情報セキュリティ対策”が要求されておりますので、今の内から認識をしておくようにしましょう。

次回は、指示6「サイバーセキュリティ対策のための資源(予算、人材)確保」から説明します。


SNSでもご購読できます。