サプライチェーンの新たなリスク

米国では2018年8月、政府機関およびその取引企業に対して、サイバーセキュリティ上の懸念を理由に、中国企業5社からの通信機器などの調達を禁じる条項を盛り込んだ国防権限法が成立した^※1。政府調達のサイバーセキュリティ強化の観点では、すでに重要情報を扱う取引企業を対象に、セキュリティ基準NIST SP800-171^※2の導入を順次進めていた中で、特定企業の排除というさらなる強硬策を取ったかたちだ。

国内でも同年12月、政府機関などの重要業務のIT調達におけるサプライチェーン・リスクへの対応として、特に防護すべき情報システムなどに関する調達の基本的な方針および手続きを明確化するよう、関係省庁内で申し合わせがなされた^※3。今後、サプライチェーンにおけるセキュリティ強化の流れは一般企業にも広がっていくことが想定され、対応できない企業はグローバルなサプライチェーンから排除されるおそれもある。

しかし、調達におけるサイバーセキュリティ上のリスクを適切に評価し、必要な対策を判断することは企業にとって容易ではない。情報処理推進機構が2017年度に行った調査では、サプライチェーンの観点から、委託先に求める情報セキュリティ対策を社内ルールとして定めている委託元は約半数（51.5%）にとどまっている（図）。製品やサービスに求められるセキュリティは、サプライチェーンの上位(調達元＝委託元)から下位（調達先＝委託先）に指示されるのが本来あるべき姿だが、明確な指示ができていない場合も多い。調達元の評価・判断能力の向上が焦眉の急となっている。

一方、調達元から独自基準で対策するよう要求された場合、追加対策の実施および実施状況に関するチェックリストの提出、実地調査の受け入れなど、調達先の負担が大きくなる。既存のセキュリティに関する認証や業界ガイドライン、SLA^※4など共通的な指標がうまく活用されれば、サプライチェーン内で一定のセキュリティレベルが担保されつつ、個別対応のコスト低減にもつながる。既存の認証などへの対応が難しい場合については、官民が連携して、業種・規模によらず、サプライチェーン内で「最低限満たすべきレベル」を確認できる共通指標を整備していく必要があるだろう。