何度かご紹介しているように、サイバーセキュリティ対策をしていくと「自社だけ頑張ってもダメ」なことに気付く。いわゆるサプライチェーンセキュリティ問題で、
サプライチェーン・セキュリティの区分 - 梶浦敏範【公式】ブログ
で挙げたようなリスクがある。製造業で言えば、主要な部品メーカが被害に遭って操業できなくなれば、最終製品事業者も事業継続が脅かされる。例えば、自動車工業会や建設業協会では、グループ企業だけでなく資本関係のない納入業者等に対して、セキュリティ対策を「お願い*1」するのを、業界を挙げて推進している。
ただサプライチェーンが直接見える一次業者の先にどう広がっているか、見えているケースはほとんどない。そこで思わぬ企業の被災が、巡り巡って自社に影響するのは、起きてから初めてわかるケースが少なくない。
サイバーセキュリティの分野では、いろいろなもの(*2)が見えないが、サプライチェーン(&リスク)もその代表的なものだ。しかし、例えばこういう対策はある。
日立、供給網把握に新システム 災害時リスクを一目で - 日本経済新聞
記事の中にある「TWX-21」は、同社の資材・購買システムベースに開発したシステム。日立グループでは、部品メーカ等に共通番号を振り、複数の事業部門がその企業に何をいつどのくらい発注しているかを簡単に検索できるようにしていた。事業部門個別の発注を、統合してコストを下げるなどの効果があった。私はその事例を持って、政府に「法人マイナンバーを個人に先行して導入しては*3」と提言したこともある。
この記事では、災害対応の例しか挙げていないが、サイバーセキュリティ対策にも使えることは間違いがない。ハードウェア部品供給だけでなく、ソフトウェア供給にも対応しているとは思うが、サービス提供まで拡張できているかはわからない。それでも企業のサプライチェーン(サイバー)リスクの見える化に貢献してくれると思う。
*1:「求める」と公正取引委員会に睨まれることもあるから
*2:人財、費用対効果、脅威、IT資産等々
*3:法人は公器なのでプライバシー問題がない