対策の強化はもちろん必須だが、取引先や社会に対して説明責任を果たすことで信頼を得る「セキュリティ・アシュアランス」も重要である。説明責任が果たせない企業は、サプライチェーンから除外されていくおそれがあるからだ。
このため、リスク評価に基づいて実施したセキュリティ対策のエビデンスを、取引先や社会が理解できるかたちで示すよう求められる。企業のセキュリティ状況を点数化するスコアリングサービスや、認証・ラベリングの制度など、第三者評価による対策状況の可視化も有効である。
サプライチェーンにおいては「製品・部品の調達」「業務委託」「システム開発委託」「外部システムとの連携」など多様な取引形態があり、さまざまなステークホルダーがセキュリティ確保に関わっている。このため企業は、自社にとって重大なリスクを明らかにした上で、優先順位を付けて発注先に対して必要なセキュリティ対策を求めていくこととなる。
具体的な対策としては、セキュリティ要件を契約書や仕様書において定める、監査やチェックシートを通じて取引先の対策状況を確認する、などが挙げられる。サイバー攻撃が発生した場合の対応事項や責任範囲を明確化しておくことも不可欠になるだろう。
