経済産業省は、サプライチェーンに対してのサイバー攻撃が増えてきたことで、経済活動へのリスクが高まったとして、2023年3月24日に、”サイバーセキュリティ経営ガイドライン”を改訂しました。

多様化巧妙化するサイバー攻撃が、企業活動で構築されているサプライチェーンをターゲットとなっていることに注目しています。

サプライチェーンを構成する企業のすべてが同じセキュリティ対策がなされていれば問題ないはずです。しかし中にはなんらかの脆弱性が残っている場合があります。昨今のサイバー攻撃はこのようなサプライチェーンの中で残っている脆弱性を侵入経路としているようです。

このサイバーセキュリティ経営ガイドラインは、経営者がサイバーセキュリティ対策において認識すべき項目や、最高情報セキュリティ責任者（CISO）に指示すべき内容などをまとめています。

具体的な指示としては、サイバー攻撃による被害に備えた復旧体制の整備について制御系を含めた業務復旧計画や体制の整備を求めています。そしてこの復旧体制についてはサプライチェーンも含めて実践的な演習を行うことも明記されています。

さらなる指示としてビジネスパートナーや委託先などを含めたサプライチェーン全体の対策および状況把握を求めています。この対応についての役割や責任を明確にすることや、セキュリティ対策の導入支援をサプライチェーン全体で万全を求め実行性を高めることとしています。

経済産業省は、今回の改定に合わせてサイバーセキュリティ経営可視化ツール（Excel版、Ver2.0）を公開しています。

この経営可視化ツールは、チェックリストの40個の設問に選択肢を選ぶものです。全設問について回答すると、可視化結果シートに表示されます。サプライチェーンを構築する企業を比較したい場合は、同じExcelファイル内に各企業毎のチェックリストの回答を記入できます。可視化結果シートで各社の回答結果がレーダーチャート上で比較できるように表示される仕組みとのことです。

クオリティソフトが提供しているISM CloudOneの脆弱性診断では、企業が利用するPCのセキュリティ状態を可視化することが可能です。

今回新たな機能として個々にISM CloudOneを利用している子会社や関係会社の情報をグループ表示として一括して表示可能な機能を追加しました。

このCentral Console機能を利用することでサプライチェーンを構築する企業が利用するISM CloudOneの情報を全体として可視化することが可能です。サプライチェーンの中にあるすべてのPCの脆弱性診断の結果を把握して、経済産業省が今回改定したサイバーセキュリティガイドラインの指示に近づけると考えます。

It's only fair to share...
00