(イメージ:the ISF)

サプライチェーンセキュリティ問題は待ったなし

3月初めに、日本でも有数のサプライチェーンがランサムウェア攻撃によって丸一日ダウンするという事件が発生しました。関係者の対応は迅速かつ的確で、おそらく今の日本のサプライチェーンセキュリティの一つの到達点が示されたのだと考えます(事件の詳細は関連報道等に委ねます)。とは言え、民間企業だけでなく日本政府も関連省庁もヒヤッとしたようで、本邦もいよいよサプライチェーンセキュリティに本腰が入ることでしょう。

しかし、問題の本丸は「グローバル」サプライチェーンです。それは、チェーンとして一本で繋がっているのではなく、まるで蜘の巣のようなものが、国境を越えて、何層にも重なりあい絡み合っていて、生き物のように変化を続けています。これを現わすのはサプライチェーンというよりも、「供給網」という日本語がより適切だと思いますので、以下では、そのような実態を表現する際にこの用語を使うことにします。

国内スナップショット方式からの脱却

さて、毎月少しずつご紹介しているISF(欧米のグローバル企業を中核とするセキュリティ互助会(NPO))でも、サプライチェーンセキュリティの知恵と経験の共有は頻繁に行われるようになってきました。ISFの専門チームは、メンバーのニーズに応えて、この数年でいくつかのツールやメソッドを体系的に積み上げてきており、2020年の「継続的なセキュリティ保証」メソッドのリリースによりサプライチェーンの七つ道具が完成しました。既存のベンチ―マークやISFスタンダードともつながり、サプライヤーの成熟度の比較をグローバル規模で継続的に行うことが可能になったのです。今年はウェブの対応ツールが準備されています。また、実務展開を確かにするために、危機管理対応演習をサポートするコンサルティングサービスも、BCP視点だけでなく、業界の特殊要因を織り込んだり、サプライチェーンを視野に入れたりと、一層高度な内容に進化しています。

グローバル供給網を操るための三課題

そこで今回は、日本の国内サプライチェーンセキュリティ体系を、「グローバル供給網」に広げるときに、何が必要か考えてみたいと思います。ポイントは3点です。一つ目は、スナップショットのセキュリティ監査で安心することなく、「継続的な保証」プログラムを作るコツ。二つ目は、国内チェーンから「グローバル供給網」に視野を広げる場合の鍵。そして、三つ目は、関係当事者にセキュリティシナリオに沿って実際に踊ってもらう「振り付け」の算段、です。

このために、今月は2本の異なるISF Blogを読んでみました。そして得た結論は5点です。これは、最後の段落で整理することにします。

「継続的な保証」を「グローバル供給網」に

さて、三つの課題の内、最初の二つを取り上げます。いつものように、ISFのSteve Durbinのブログを読んで、筆者なりに解答を引き出したいと思います。
(ここから引用)