サプライチェーンのセキュリティ評価で注意したい15の項目：今こそ見直したいサプライチェーンセキュリティ

サプライチェーンセキュリティのリスクが高まる今、自社に関連するサプライチェーンがきちんと対策をしているかどうかをどうチェックすればいいでしょうか。15の評価項目を解説します。

[藤本 大，SecurityScorecard株式会社]

　多様なサービスをサードパーティー（サプライチェーン）ベンダーに依存することが当たり前になってきている今、これらのサイバーセキュリティ体制に焦点を当てる必要性が高まっています。企業は脆弱（ぜいじゃく）性を狙った侵害から保護するために、サプライチェーンのサイバーセキュリティリスクとコンプライアンスレベルを綿密に評価することが不可欠です。

　サイバー脅威はますます高度化し、まん延しており、サイバーセキュリティチェックリストを持つことは企業にとってこれまで以上に重要です。これは潜在的なサイバーセキュリティリスクを特定し、軽減するための構造的かつ体系的なアプローチを提供する重要なツールです。

　これによって、組織のサイバーセキュリティ体制のあらゆる側面が包括的に評価され保護されます。サイバーセキュリティチェックリストに沿った定期的な評価を実施することで、企業は脆弱性に積極的に対処し、規制基準を順守し、データ漏えいの防止やサイバー攻撃からの保護ができます。

筆者紹介：藤本 大氏（SecurityScorecard　日本法人代表取締役社長）

1996年に日本電信電話に入社し、東日本電信電話、NTTコミュニケーションズで法人営業に従事。 製造業、サービス業、金融業等の大手日本企業や外資企業を担当し、ネットワークサービスのみならずさまざまなセキュリティサービスを提供。 2017年にファイア・アイに入社、パートナー営業部長として主に大手通信事業者とのパートナービジネスの拡大に貢献。 2020年7月1日にSecurityScorecardに入社し、2021年6月24日より現職。1971年長崎県長崎市生まれ。青山学院大学国際政治経済学部卒業

サイバーセキュリティチェックリストで確認しておきたい15項目

　ここではサイバーセキュリティチェックリストの中でも、データ保護法の順守やセキュリティポリシーの強さ、ネットワーク防御、潜在的なサイバーインシデントへの備えなど、評価すべき15のポイントを解説します。

1．サプライチェーンベンダーの特定と分類

• ビジネスでやりとりする全てのサプライチェーンベンダーを特定する
• サプライチェーンベンダーがアクセスするデータの種類と提供するサービスに基づいて分類する
• 機密データやシステムへのアクセスレベルに基づいてベンダーの優先順位を決定する

2．コンプライアンスと規制の順守

• サプライチェーンベンダーが関連する業界標準や規制（GDPR、HIPAA、CCPAなど）に準拠していることを確認する
• サプライチェーンベンダーのコンプライアンス履歴や過去の違反行為を確認する

3．サイバーセキュリティポリシーとフレームワーク

• サプライチェーンベンダーのサイバーセキュリティポリシーとインシデント対応計画を評価する
• 国立標準技術研究所（NIST）や「ISO 27001」のような認知されたサイバーセキュリティのフレームワークに従っているかどうかを確認する

4．データセキュリティとプライバシー対策

• サプライチェーンベンダーのデータ暗号化方式を評価する
• データの保持やバックアップ、廃棄に関するポリシーを確認する
• 個人識別情報（PII：Personally Identifiable Information）やその他の機密データを保護するための強固なプライバシーポリシーと対策があることを確認する

5．ネットワークとインフラのセキュリティ

• ファイアウォールや侵入検知システム、安全なVPNなど、ネットワークインフラのセキュリティ対策を調査する
• ネットワーク監視の実施状況や脆弱性の管理方法についても質問する

6．アクセス制御と認証

• 最小特権の原則を含む強力なアクセスコントロールポリシーの実施を確認する
• 機密性の高いシステムやデータへのアクセスに多要素認証（MFA）を使用しているかどうかを確認する

7．エンドポイントセキュリティ

• マルウェア対策ソフトウェアや定期的なセキュリティパッチなど、強固なエンドポイントセキュリティ対策を実施していることを確認する
• モバイルデバイスやリモートアクセスの管理、セキュリティ確保に関するポリシーについても確認する

8．従業員のトレーニングと意識向上

• サプライチェーンベンダーの従業員向けサイバーセキュリティトレーニングプログラムを評価する
• フィッシングやソーシャルエンジニアリング攻撃など、現在のサイバー脅威に対する認識を確認する

9．サプライチェーンベンダーのリスク管理

• サプライチェーンベンダーがサプライチェーンリスクをどのように評価し、管理しているかを確認する
• 下請け業者やパートナーのサイバーセキュリティ体制を評価する手順があるかどうかを判断する

10．インシデント対応と事業継続

• インシデント対応計画とテスト記録を確認する
• サイバーセキュリティインシデントの復旧を含む事業継続計画があることを確認する

11．監査および評価報告書

• サイバーセキュリティコンプライアンスフレームワーク「SOC 2」など自社のサービスに関連する最近のサイバーセキュリティ監査報告書を要求する
• 最近の侵入テストや脆弱性評価の結果を求める

12．サイバー保険と賠償責任補償

• サプライチェーンベンダーがサイバー保険に加入しているかどうかを確認し、補償の詳細を理解する
• データ侵害やサイバーセキュリティインシデントが発生した場合の責任問題について話し合う

13．契約上の義務とSLA（サービスレベル合意）

• 契約書やSLAに記載されているサイバーセキュリティに対する期待や要件を確認する
• データセキュリティやインシデント報告、コンプライアンス義務に関する明確な条項があることを確認する

14．継続的な監視と更新

• サプライチェーンベンダーのサイバーセキュリティ体制を継続的に監視するシステムを導入する
• 新たな脅威や技術に対応するため評価基準を定期的に更新し、見直す

15．フィードバックと改善

• サイバーセキュリティ対策の継続的な改善のため、サプライチェーンベンダーとの継続的なフィードバックプロセスを確立する
• 潜在的なリスクとそれを軽減するための協力的な取り組みについて、オープンなコミュニケーションを奨励する

　サプライチェーンベンダーのサイバーセキュリティリスクを評価することは、包括的なサイバーセキュリティ戦略の重要な要素です。このチェックリストに従うことで、企業はベンダーが自社のサイバーセキュリティ基準とコンプライアンス要件に合致していることを確認できます。このプロアクティブなアプローチは、機密データを保護し、今日のデジタルエコシステムにおける信頼を維持するために不可欠でしょう。