サプライチェーンリスクの管理、外部評価は羅針盤となるか
多くの企業では、なんらかのセキュリティガイドラインを参考にガイドラインを策定し、自社だけでなくグループ企業や取引先にも準拠を求めている。そして、どれだけ準拠しているのか、年に1回程度のアンケートで確認する方法が一般的だ。しかし藤本氏によれば、「現状のやり方で十分と考えている企業はほとんどいない」のが実情である。
そもそもアンケートで回答される内容が実態に即しているのか不明であり、実施・回答の負担も少なくない。加えてアンケートで把握できるのは、一時的な状況だけであり、継続的な監視には向いていないだろう。
「現状のサプライチェーンリスク管理において、リアルタイムかつ継続的に、実態に即した内容で、立場の異なるステークホルダー間でコミュニケーションをとるための共通言語がない」と藤本氏。ここで言う「立場の異なるステークホルダー」とは、経営陣とセキュリティの現場、本社とグループ企業といった社内の関係性、あるいは発注元と発注先という社外との関係性を指している。
こうした課題が山積している状況だからこそセキュリティレーティングに注目が集まっており、従来のASMなどにはないサービスとして「セキュリティリスクレイティングサービス」としてSecurityScorecardを提供しているという。同社が提供するサービスは、企業が管理するサイトドメインなどを基に“サイバー攻撃の受けやすさ”を攻撃者視点で客観的に評価し、A〜Fの5段階および100点満点でスコア化するものだ。
藤本氏は「Fグレードの企業はAグレードの企業と比較して13.8倍もサイバー侵害が発生する可能性が高いという調査結果が出ています」と説明する。これは過去のサイバー侵害について調査した結果から導き出された統計であり、最新の調査ではその差が拡大しているという。また評価は単にグレードを示すだけでなく、どこでどのような問題が確認されているのか、その問題に対応するためのエビデンスや推奨対応も提示してくれる。単に危険度がわかるだけでなく、適切な対処につなげることでスコアを継続的に改善することで、サイバー侵害を受ける可能性を低減していく狙いだ。
[画像クリックで拡大]
具体的には、管理対象の定義からスタートする。取引額や共有する情報、システム接続の有無などから管理対象を特定できれば、管理対象のドメインを登録。これによって評価を行える。たとえば「平均90点以上を維持する」「D・Fの企業をなくす」など、具体的な目標を定めたならば、具体的な問題の発生箇所や内容について、エビデンスや推奨対応も含めて取引先と共有することで、改善を進めていく形だ。
「このプロセスを継続することで、サプライチェーンリスク管理をより効率的かつ効果的に実現できます」(藤本氏)
