Bizコンパス

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる
2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

著者 Bizコンパス編集部

アメリカでは危険なサプライヤーは除外される、一方日本は…?

 自動車のサイバーセキュリティについて考えるとき、自動車の製造を支えるサプライチェーンがなぜ重要視されるのでしょうか。それは部品メーカーなどが開発したソフトウェアに脆弱性があれば、それを組み込んだ完成車がサイバー攻撃の対象になる可能性があるためです。

「すでにアメリカでは、このサプライチェーンに関するサイバーセキュリティのリスクに関して規制を始めています。具体的には『Supply Chain Vulnerabilities from China in U.S. Federal Information and Communications Technology』中で中国サプライヤーのリストを公開し、掲載されている会社が開発したソフトウェアを使うと、制裁を科す可能性があるとしています。OEMは、リストに掲載されているサプライヤーのソフトウェアの使用の有無について、巨大サプライチェーン全体を点検しなくてはいけません」(中島氏)

 日本においてもサプライチェーンのセキュリティリスクは認識されつつあります。経済産業省が公開した「サイバーセキュリティ経営ガイドライン Ver2.0」では、サイバーセキュリティ経営の重要10項目の1つとして「ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」を挙げています。しかし、中島氏はまだ取り組みは十分ではないと指摘し、その理由を次のように語ります。

「IPAが発表した『情報セキュリティ10大脅威 2019』によれば、組織のカテゴリで『サプライチェーンの弱点を悪用した攻撃の高まり』が今年4位にランクインしました。サイバー攻撃において標的となりやすいのはセキュリティ対策が進んでいないところです。サプライチェーン内の中小企業などでは、セキュリティ教育が十分に行われていない場合も少なくありません。同様に、セキュリティ人材やセキュリティ投資も不足しがちなため、狙われる可能性が高いといえるでしょう。OEMや大手サプライヤーは自社だけのセキュリティを強固にしてもサイバーリスクは下がりません。喫緊の課題であるという認識を持っています」

(出典:IPA)

SHARE

関連記事

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

在宅勤務に潜む「情報漏えい」の恐怖をどう防ぐ?

2020.05.15

テレワーク導入の“壁”を解決第5回

在宅勤務に潜む「情報漏えい」の恐怖をどう防ぐ?

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

中部電力とNTT Comはどうやって点検データを「見える化」したのか

2020.04.10

デジタルトランスフォーメーションの実現へ向けて第38回

中部電力とNTT Comはどうやって点検データを「見える化」したのか

AWS導入を成功させるには、3つのフェーズの攻略がカギ

2020.04.03

DXを加速させるITシステムの運用改革第20回

AWS導入を成功させるには、3つのフェーズの攻略がカギ

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第18回

マルチクラウドの活用に必要なクラウドマネジメントとは?