前提となる仮想企業像や課題などはこちらの記事で確認できます。
仮想企業のサプライチェーンリスク管理の現状
XYZ電子のサプライチェーンリスク管理の責任を担っているのは、サプライチェーン上流に関しては、購買部門であり、サプライチェーン下流に関しては、顧客対応窓口である。また、これらの部門を契約面、法的な対応面でサポートするのが法務部門である。これまでのサプライチェーンリスク管理において、セキュリティに関する問題は起こっておらず、経営層はじめ、各部門担当者の問題意識は低い。
しかし、経営目標の達成に向けて、OT部門、開発部門がDXを推進し、顧客や調達先とのサイバー空間におけるつながりが強まる中で、その問題が顕在化してきている。特に、車載AV機器部門が所属する自動車業界では、MaaS(Mobility as a Service)やコネクテッドカーのようにサイバー空間の依存度が高いビジネスが推進されているが、同時にセキュリティ確保の取り組みも進められている。
実際、国連の自動車基準調和世界フォーラム(WP29)において、自動運転車のサイバーセキュリティとソフトウェアアップデートに関する国際基準(UN規則)が定められ、2021年から日欧で義務化される見通しである(※1) 。
※1 https://www.mlit.go.jp/report/press/jidosha07_hh_000343.html
これは、完成品メーカーに対する基準ではあるが、基準の項目のひとつとして、「サプライチェーン全体を通じた情報収集と検証」を求められていることもあり、既に、複数の完成品メーカーから、開発部門に対して、現状のセキュリティ管理体制や製品・サービスのセキュリティ対策の照会が来ており、対応に苦慮している状態だ。このような状況で、ITセキュリティ部門がサプライチェーン関連部門をどのようにサポートできるのかを考えてみよう。
[クリックすると拡大]
