vol.129「NEC/ サプライチェーン全体のサイバー防衛を強化」

【今週のトピックス】

「NECがサプライチェーン(供給網)全体のサイバー防衛を強化している。(中略)
取引先を侵入口とするサイバー攻撃が起きることを前提に、迅速に復旧す
るための備えを強めている。

NECは2022年、米国防総省が取引先に義務づける米国立標準技術研究所(NIST)
の基準などに沿ったセキュリティーガイドラインを定めた。従来はサイバー
攻撃の未然防止に軸足を置いた国際基準に準拠していたが、攻撃を受けた
場合の対応や復旧を重視するより実践的なNISTの基準に切り替えた。」
出所）「NEC、供給網でサイバー防衛」『日本経済新聞』2023年5月23日
(https://www.nikkei.com/paper/article/?b=20230523&ng=DGKKZO71235110S3A520C2TEB000
閲覧日：2023年6月28日）

記事から同社の対策のポイントをまとめますと、

■ サプライヤがサイバー攻撃を防ぎきれない事態を前提

■ サプライヤ約1800社にサイバー攻撃を受けた時や攻撃を防ぎきれなかっ
た際の自社の取り組み状況について自己申告を求める

■ 同社スタッフ約100人が年約200社ずつサプライヤの申告内容を点検

■ サプライヤを集めてサイバー攻撃対策の研修を開催

■ セキュリティー対策が遅れている取引先には3年間の猶予期間を設けて
対応を促す

■ 統制を取りやすくするため特別な理由がない限りサプライヤが業務を
再委託するのを制限

こうした対応を見ますと、力のある企業はサプライヤ並びにそれらの先に
あるサプライチェーンへの関与を深めているのが伺えます。一般的にサプ
ライヤの多くは自社のみではサイバー攻撃対策ならびにサイバー攻撃被害
からの復旧対策を取れない中小企業であり、サプライヤ任せにしていては
管理・改善が進みません。

サプライチェーンリスクはサイバー攻撃のみではなく、天災・地政学等様
々なものがあります。また、サプライチェーンリスクの他にもサプライチェー
ンマネジメントには温暖化ガス排出量の削減・人権尊重等のESG経営の推
進といった新しい課題が生じています。

こうした様々なテーマについてすべての調達材のサプライチェーンを源流
迄遡ってマネジメントしていくというのは相当な大企業であっても至難の
技です。現実的な落とし所としては、管理する調達材・項目・サプライチェー
ンの深度に優先順位を付け、投入できるリソースの中で優先順位の高いも
のから対応していくしかないかと考えます。

2023.6.30