【規格/ガイドライン解説】サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて

2023.12.12 2024.02.21 株式会社ネットワークバリューコンポネンツ

昨今の原油価格や物価の高騰から物資やサービスの安定提供が危ぶまれている中、サイバー攻撃によるサプライチェーンの分断を危惧した新たなガイドラインが公表されていることをご存知でしょうか。

本ブログでは、発注者にあたる企業が取引先に対して行うべき支援内容や、関係性構築のための考え方についてまとめた新たなガイドラインである「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」について、簡単に紹介します。

「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」とは

「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて(以降「本ガイドライン」と記載)」は、サプライチェーン全体でのセキュリティ向上を目指すために、発注者側にあたる企業が行うべき取り組みをまとめたガイドラインです。

「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」とは

引用：公正取引委員会ホームページ (2023年9月19日参照)

取引先の中でも特に中小企業を想定し、発注者が取り組むべき取引先への支援内容や、取引先との関係性構築のために必要な考え方がまとめられています。あくまでガイドライン・指針であり、支援内容についての明確な最低ラインを定め準拠を強制するような強制力のあるものではありません。　基本的な方針を示し、参考となる情報を提供しています。

公正取引委員会のWebサイト上には、本ガイドラインについてのポイントを整理したPDFファイルも公開されていますが、本ブログではこちらの内容をさらにわかりやすく整理していきたいと思います。

サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて

引用：公正取引委員会ホームページ(2023年9月19日参照)

本ガイドライン作成の背景

直接のきっかけは関係閣僚会議です。2022年4月26日に、原油価格・物価高騰等に関する関係閣僚会議にて決定された「コロナ禍における「原油価格・物価高騰等総合緊急対策」」として、以下の政策が決定されたためです。

building-partnerships-with-business-partners-3

引用：コロナ禍における「原油価格・物価高騰等総合緊急対策」 | 内閣官房ホームページ (2023年9月19日参照)

この政策決定の背景にあるのは、中小企業に対するサイバー攻撃によりサプライチェーンが分断され、物資やサービスの安定供給に影響が生じうるという懸念です。ここ数年、サプライチェーン攻撃は増加傾向にあり、中小企業も攻撃の標的にされ、踏み台にされるリスクが増加しています。つまり、従来以上の強固なセキュリティ対策が中小企業で求められているのです。

しかしながら、セキュリティ対策の変化に適応し、対策を見直していくことは、専門のセキュリティチームを有する組織であっても容易ではない一方で、中小企業で専門チームを有する組織は稀です。

サイバー攻撃の標的がサプライチェーン全体へと変わったことで、セキュリティ対策領域もまたサプライチェーン全体へと広がりました。こうした変化に伴い、サプライチェーン全体に対するセキュリティ対策を求められているのがサプライチェーンの中で発注者側にあたる組織、つまりは大企業や中堅企業です。こうした発注者側の企業が、サプライチェーン全体でのセキュリティ対策向上のために個々の取引先に対して活用できる支援制度や、取引先との関係性構築の考え方やスタンスについてまとめるべく策定されたのが本ガイドラインです。

本ガイドラインの内容

重ねての記載にはなりますが、本ガイドラインはサプライチェーン全体でのセキュリティ対策を向上させるための指針をまとめたものです。

サプライチェーン内の発注者側の企業が、取引先、特に中小企業に対してセキュリティ対策向上のために案内できる「①サイバーセキュリティ対策に関する支援策」と、こうした案内やセキュリティ対策向上につながる働きかけや要請を行うにあたっての「②取引先との関係構築のための心構えや考え方」について整理されています。

本ガイドラインの内容本ガイドラインが示す指針のイメージ

① サイバーセキュリティ対策に関する支援策

発注者側の企業が、取引先のセキュリティ対策向上のためにできることはなんでしょうか。グループ会社(子会社や関連会社)であれば共通基盤を使うような方法もありますが、取引先となるセキュリティ対策を直接提供することは難しいでしょう。

となると、有効な手法として想定されるのは、ナレッジの共有や取引先が利活用できる具体的な支援を紹介することです。後者について、経済産業省及びIPAが提供する４つの支援や制度が、本ガイドラインの第２章にて紹介されています。

サイバーセキュリティお助け隊サービス
セキュリティアクション
中小企業の情報セキュリティ対策ガイドライン
サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)

② 取引先との関係性構築のための心構えや考え方

発注者側として、取引先との健全な関係性構築のための心構えを保つために推奨される取り組みや、取引先との関係性構築を行うにあたっての考え方や注意事項について、本ガイドラインの第３章を中心に紹介されています。

<発注者側で推奨される取り組みとして紹介されている例>

「パートナーシップ構築宣言」の宣言申請
サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)への参加

<関係性構築にあたっての考え方や注意事項の記載例>

独占禁止法や下請法に準拠すること
具体的なNG例の紹介
- 取引の対価の一方的な決定
- セキュリティ対策費の負担の要請
- 購入・利用の強制

※「パートナーシップ構築宣言」については、こちらのブログで解説をしておりますので参照ください。

まとめ

高度化するサイバー攻撃への対策として、サプライチェーン全体に対するセキュリティ対策が必要となりました。そして、そのセキュリティ対策を考えるべきはサプライチェーンにおける発注者側の企業に求められているのが現状です。

現時点ではまだガイドラインであり取り組みの実施についての強制力はありません。しかしガイドラインが制定されている以上、万が一のインシデントが生じてしまった場合には、発注元に対する責任が問われる可能性が出てきている状態です。その時、十分な取り組みがなされていないと判断されることで、必要以上のビジネス影響が生じてしまうこともあるでしょう。

こうしたガイドラインを参考に、自社のリスク管理のためにサプライチェーン全体でのセキュリティ向上の積極的取り組みを是非ご検討ください。