サイバーリスク管理が進まない! 製造業サプライチェーンの深刻な現実:製造業のサプライチェーンサイバーリスク管理:その重要性と具体策(前編)(2/2 ページ)
製造業はサプライチェーンを介したサイバー攻撃の標的になりやすい状況にあります。リスク管理のため、サプライチェーンの可視化やサードパーティーの役割を正確に把握することが重要です。本連載では前後編で、製造業のサプライチェーンリスクの現状評価と、セキュリティ確保の重要性を解説していきます。
サプライチェーンのセキュリティニーズを評価
ベンダーのセキュリティ対策をより深く理解するために、ベンダーに確認すべき重要な質問項目を幾つかご紹介します。
データセキュリティ
- 機密データの保護
機密データ(顧客情報、知的財産)は、保存時および転送時に標準で暗号化されている。アクセス管理は厳格に権限を設定し、機密データへのアクセスを必要最小限の関係者に限定している。 - アクセス管理
厳格なアクセス制御を適用し、特定の役職や権限を持つユーザーのみにアクセスを許可している。また、アクセス権の定期的な見直しも行っている。
セキュリティ対策
- セキュリティポリシーの整備
データ保護やインシデント対応手順について、詳細を含むセキュリティポリシーを文書化し、従業員および関係者に周知している。 - セキュリティ評価および侵入テスト
定期的にシステムのセキュリティ評価と侵入テストを実施し、脆弱性の検出および改善を行っている。 - 最新のセキュリティパッチ
ソフトウェアおよびシステムは、最新のセキュリティパッチを適用/更新され、リスク軽減を図っている。
インシデント対応
- インシデント対応計画:文書化されたインシデント対応計画を策定しており、緊急時の対応手順や各種連絡先が明記されている。
- 通知手順:当社データに関するセキュリティ侵害が発生した場合、影響を受ける関係者に迅速に通知する手順を確立している。
隔離と修復:インシデント発生時には、隔離および修復のための手順を速やかに実行し、影響範囲の最小化と迅速な回復を図る。
ベンダー管理
- セキュリティ要件:サードパーティーベンダーに対するセキュリティ要件を設定し、契約段階でこれを明確にしている。
- サプライチェーンのセキュリティ確保:定期的な評価やモニタリングを通じて、サプライチェーンのセキュリティ確保を行い、TPRMに基づくリスク管理体制を強化している。
サプライチェーンにおけるリスクの可視化
サプライチェーンにおけるリスクの可視化はネットワーク全体の潜在リスクを把握し、サプライチェーンにおけるセキュリティを実現するための重要な要素です。リスク管理を効果的に行うには、全てのベンダーや下請け業者、物流パートナーのセキュリティ体制を把握し、原材料のサプライヤーから最終製品の販売業者まで、サプライチェーン全体の可視化を図る必要があります。
可視化によって、リスクに基づいたベンダーの優先順位付けが可能になり、脆弱な領域にリソースを集中して現状を改善することで、より効果的なセキュリティ対策が実施できるようになります。また、サプライチェーンの状況をリアルタイムで把握することで、リスクに対してプロアクティブに対応でき、全体として回復力のある安全なネットワークの構築が可能になります。
可視性を高めるためには、ベンダーやパートナーとの情報共有と定期的なセキュリティ評価が不可欠で、リスク状況を継続的に把握して対応する体制が求められます。
フォースパーティリスクの重要性
フォースパーティリスクは、サードパーティー以上にサプライチェーンの安全に影響を及ぼす可能性があります。フォースパーティベンダーは直接の取引関係がないものの、サードパーティーを通じて組織とつながり、間接的な形で重大なリスクをもたらします。現代では、企業は相互に複雑に関係しており、数度の隔たりを超えた関係の中で、企業の管理範囲外でリスクが増幅される可能性があります。
フォースパーティリスクは、特にデジタル・サプライチェーンが拡大するにつれて無視できない存在となっており、これらのベンダーを特定し、評価することが重要です。フォースパーティの特定により、組織は潜在リスクを把握し、リスクが高い領域を優先的に管理、対策することで、全体のリスク体制を強化できます。このように、フォースパーティリスクへの対応は、サプライチェーン全体の回復力を高め、安全性を確保するために不可欠な取り組みです。
次回は、製造業のサプライチェーンにおけるセキュリティ強化とインシデント対応の重要性についてご説明いたします。
橋本詩保(はしもと しほ)
SecurityScorecard
インターナショナルマーケティング担当 バイスプレジデント
2021年より現職。サイバーセキュリティやテクノロジー業界で、20年以上業務を経験。SecurityScorecard以前には、コンピュータゲーム開発企業であるRovio Entertainmentの子会社 Hatch Entertainmentで、SamsungやNTTドコモなどのパートナーと共にモバイルクラウドゲームの世界展開を主導してきた。アイデンティティアクセス管理および暗号化の世界的リーダであるSSH Communications Securityでは、世界的にマーケティングチームを率いるなど、グローバルな視点でマーケティング戦略を展開。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- OTセキュリティを巡る3つの落とし穴〜Why OTセキュリティの共通認識と本質的How
本稿では、OTセキュリティにおける3つの落とし穴を通して、OTセキュリティのWhy(なぜ必要なのか)の共通認識と、勘所としてのHow(どのように進めるか)を解説します。 - スマート工場におけるガイドライン別冊の活用ポイントと注意点
本稿では、近年増加するスマート化を進める工場が留意するポイントを、スマート工場向けのガイドラインをもとに解説します。 - 工場のサイバーセキュリティ対策、スマート化を進める際のポイントとは
製造業向けの国内最大級のオンラインイベント「ITmedia Virtual EXPO 2024 夏」において、「経済産業省における工場セキュリティ政策〜工場スマート化を進める際の対策ポイント〜」をテーマに経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐 加藤優一氏が行った基調講演の模様を一部紹介する。 - 信頼性強化か大惨事か 基幹インフラでの機械学習活用がOT環境に与えるリスク
機械学習アルゴリズムを基幹インフラシステムに統合することで、リアルタイムのモニタリングや予知保全といったメリットがもたらされます。一方で、サイバーセキュリティ上のリスクが生じることも確かです。本稿ではこのセキュリティリスクについて解説を行います。 - 欧米との比較に見る、日本のソフトウェアサプライチェーンセキュリティの現在地
日本シノプシスは、調査レポート「ソフトウェア・サプライチェーン・セキュリティ・リスクの状況」を基に、日本企業のソフトウェアサプライチェーンセキュリティに対する取り組みや対応状況などについて説明した。