キオクシア社やマクドナルド社はどう活用している?
SecurityScorecardを導入する企業は増加傾向にある。たとえばキオクシア社では、社内での情報連携、特に経営層向けのサイバーセキュリティに関する報告に苦慮しており、取引先まで対象にした管理の必要性は認識していたものの、具体的な手段がなかった。そこでSecurityScorecardを導入することで、約650社の1次調達先を対象としたサプライチェーンリスク管理を実現。Cグレード以下の企業にフォーカスして詳細を把握、特にD・Fグレードの企業への対応に注力するという目標を設定している。
[画像クリックで拡大]
また、日本でサイバーインシデントが発生した場合には、調達先内に該当企業がないかを確認するなど、経営層とのコミュニケーションツールとしても活用しているという。さらに経済産業省のサプライチェーン対策評価制度の基本構想(案)を意識した運用も計画しており、三つ星の取引先には総合グレードだけを確認できるサービスを、四つ星・五つ星の取引先には詳細が確認できるサービスを提供予定だ。
「最近ではサイバーセキュリティに関する、取引先とのコミュニケーションツールとしても活用されています。取引先と一緒にセキュリティの底上げを実現する、これが日本におけるサプライチェーンリスク管理のあるべき姿でしょう」(藤本氏)
一方で予算や人的リソースの制約から可視化や目標設定までは対応できるものの、取引先との具体的な改善活動や継続的なモニタリングまで手が回らない企業も多い。そこでSecurityScorecardは「SecurityScorecard MAX」(以下、MAX)というサービスを2024年にリリースした。同サービスでは、SecurityScorecardが顧客の取引先と直接・間接的に連携して問題解決、リスク低減に取り組むことが特長だ。
既にMAXを利用しているマクドナルド社は「積極的かつリアルタイムのリスクモニタリングや修復により、サードパーティのサイバーセキュリティ対策を迅速かつ効率的に強化できる」と太鼓判を押している。「日本は、どの国・地域よりもサプライチェーンセキュリティのリスクにさらされていることは明らかだ」と藤本氏。だからこそ従来的なセキュリティレーティングだけでなく、MAXのようなサービスを活用することで、リスク対応能力の向上に努める必要があると警鐘を鳴らす。
「まずは今の予算で自社やグループ企業を対象に小規模でスタートし、将来的に取引先まで範囲を広げる段階的な導入も可能です。サプライチェーンリスク管理について相談したい場合、他社事例を詳しく知りたい場合など、まずは気軽に連絡をしてください」と呼びかけた。
