チェックシートも煩雑に……セキュリティ対策評価を効率化するには
パネルディスカッションでは、グローバル企業におけるサプライチェーンリスクマネジメントやCISOの役割について論じられた。登壇したのはイオン CISO ICT推進 吉田俊介氏と、ニュートン・コンサルティング 執行役員 兼 CISO プリンシパルコンサルタント 内海良氏。
吉田氏は長年システムの研究開発やセキュリティ施策に携わり、現在はイオンのCISOとしてグループのITマネジメントやセキュリティガバナンスを推進している。一方、内海氏はニュートン・コンサルティングのCISOを務めると同時に、企業におけるCISOなどのセキュリティ責任者に向けてコンサルティングする立場でもある。
まずは、大企業の足をすくいかねないサプライチェーンのセキュリティリスクについて議論が展開された。2023年11月には、LINEヤフーの関連企業の委託先企業に勤める従業員のPCがマルウェアに感染したことで、LINEヤフーと共通で利用していた認証基盤を介した不正アクセスが発覚。これにより、LINEヤフーで約44万件の個人情報が流出する事態となった。同様にJCOMでは2023年11月、販売代理店が提供しているスマートフォンアプリのサーバーへの不正アクセスを通じて、約23万件の顧客情報が流出している。これらのケースは個人情報を保有する企業そのものではなく、関連企業から侵入され、最終的に個人情報流出につながった例だ。
このようなサプライチェーンリスクに企業はどう対応しているのだろうか。吉田氏は、「イオンではグループ企業や委託先にセキュリティチェックシートを配布し、しかるべきセキュリティ対策を行っているかを確認しています」という。これを受けて内海氏は、こうしたセキュリティチェックシートは「良くも悪くも、もはや文化と呼べるほどに根付いてきていますね」と補足した。

とはいえ、世界各国に拠点を持ち、関連会社も多いとなれば、個別の細かいセキュリティチェックは依頼する本社側も回答する企業側もかなりの負担になる。この負荷や工数も課題だ。これに対して吉田氏は「チェック項目を減らすことは難しいので、社内で回答結果を共有して再利用できるようにすることで、工数を削減できるように工夫しています」と話す。他の企業事例でいえば、セキュリティのレーティングサービスやアタックサーフェスマネジメントのスコアを提出することで、それをチェックシートに代える企業も出てきていると内海氏は説明する。
また、チェックシートは基本的に自己申告による確認手段のため、どこまで信頼に値するかもあいまいだ。加えて、取引先に対して厳しく強制しすぎると「下請けいじめ」になりかねない。そのため、「法務観点での調整も重要になってきます」と内海氏は説く。