(写真イメージ:写真AC)

1年以上にわたるコロナ禍により、経済や生活様式のデジタル化が加速しています。一方、急激に拡大したDXの脆弱(ぜいじゃく)性を狙ったサイバー攻撃も深刻化しています。なかでもその格好の標的となり各国で対策の強化を進めているのがサプライチェーンにおけるサイバーセキュリティ対策です。

現代のグローバル化、複雑化したサプライチェーンの状況は、この課題への取り組みを一層困難にしています。昨年発生したSolarWindsへのサイバー攻撃では、侵入者が世界中の多数の官公庁や民間組織にアクセスし、取引先が政府や企業に及ぼし得る影響を如実に示すとともに、効果的なサイバーセキュリティ管理に関する組織戦略において、サプライヤーのサイバーセキュリティを重要な構成要素にすべきことを改めて提起しました。

英国はサプライチェーン・サイバーセキュリティの脅威に対して、4つの重要な段階における対策を講じています。第1に、サプライチェーンの情報を収集し、リスクを理解する。第2に、サプライチェーンリスクの管理方法を確立し、維持する。第3に、リスク管理方法の精査を徹底するため、これらの方策をチェックする。最後に、変化するサプライチェーンの課題に対応するため、継続的に改善を行い、つねにセキュリティ管理の最善策を模索する。この方策を反映する具体的な取り組みについて説明していきます。

Cyber Essentials

その基礎を成すのが、英国の国家サイバーセキュリティセンター(National Cyber Security Centre, NCSC)によるCyber Essentials です。このスキームは、5つの技術管理の領域において、企業が基本的なサイバーセキュリティ基準を満たしていることを認証するものです。この認証を取得することで、サプライヤーが一定の認定基準を満たしており、自社のセキュリティ対策に真剣に取り組んでいるという信頼を与えることができます。

Cyber Essentials認証は、機密および個人情報を扱う案件、また特定の技術製品やサービス提供に関わる英国政府機関との契約の要件になっています。この要件によって、契約の初期段階にサプライヤーのサイバーセキュリティを構築し、委託業務を順調にスタートできます。また、このCyber Essentials制度は、新型コロナウイルスのまん延とともに拡大する医療系サプライヤーへのサイバー脅威の対策としても活用されています。英国政府は、医療系サプライチェーンを形成する重要な医療関係の中小企業に対し、Cyber Essentials認証取得にかかるコンサルタントおよび費用の全額を補助しています。

Defence Cyber Protection Partnership

Cyber Essentials制度を土台に構築されたのが、Defence Cyber Protection Partnership(DCPP)です。これは英国国防省と産業界による、防衛産業のサプライチェーンをサイバー脅威から保護するための取り組みです。この取り組みを発展させたCyber Security Modelが策定され、2017年10月以降、全ての新規防衛品調達において適用されています。この3つのプロセスで構成されるモデルでは、まず契約のリスクレベルを決定し、そのリスクの低減に必要な管理を設定します。次に、サプライヤーが適切な管理を実施できるか評価し、最後にサプライヤー保証質問票(Supplier Assurance Questionnaires)によりそのサプライヤーの適性を評価します。

また、英国政府が策定したサプライヤー保証の枠組み(Supplier Assurance Framework)は、これらの取り組みを補完するもので、「リスク評価の共通基準(Common Criteria For Assessing Risk)」によって、高・中・低リスクの契約に対する保証のアプローチを策定するための、一貫性あるリスク管理の枠組みを提供しています。