DMG森精機、取引企業との直接対話でサプライチェーンのセキュリティを強化

ディスカッション形式での対話により新たな関係性を構築

　一方、サプライチェーンセキュリティの強化では、PDCAを回せることを基本方針に決めた。ここでも現状把握フェーズでは、取引先企業と対面でディスカッションし「趣旨や思いを直接伝えるよう留意した」（堀氏）という。2023年9月から11月の約2カ月で53社を訪問した。

　取引先訪問で一番意識したポイントを堀氏は、「セキュリティの難しさをできるだけ排除することだった」と説明する。ディスカッションには経営層とIT担当者にも参加してもらうためだ。「難しさを極力排除し、取引先自らが対応できるような内容にするよう心がけた」（同）という（図2）。

図2：取引先企業への訪問で現状を把握してから、PDCAを回してセキュリティを強化できるようにした

　訪問時にセキュリティ診断ツールも利用した。堀氏が参加した「産業サイバーセキュリティセンター 中核人材育成プログラム」で作成したもので、「短時間で評価でき、結果が明確」（堀氏）なのが特徴だ。「セキュリティの第一歩」や「強い組織づくり」「リスク評価」など、情報セキュリティの強化に必要な取り組みを「網羅的に診断できる」（同）とする（図3）。

図3：セキュリティ診断ツールを利用し情報セキュリティの現状を網羅的に診断した

　訪問診断の結果、次の3つが判明した。（1）セキュリティ監視サービスの利用が拡大、（2）情報提供の橋渡しの必要性、（3）制御セキュリティへの対策は発展途上である。

直接訪問した取引企業の前向きな反応と今後の展望

　直接訪問について取引企業からは「勉強になった」「イメージができた」などのフィードバックが得られた。経営者や役員、IT担当者が一緒にディスカッションに参加できた企業からは「対策が進みそうだ」「継続的に情報提供をしてほしい」といった声もあったという。

　堀氏はディスカッション形式の対話について、「一緒にセキュリティ対策をしていくという関係性の構築や、診断ツールによる対策の必要性の理解、課題認識が実現でき、次のステップに進めるようになった」と評価する。

　「直接訪問は強靭なサプライチェーンを築くための非常に良いきっかけにもなり得る取り組みだったと考えている。この関係性をさらに向上させるために継続的にサプライチェーンセキュリティについて検討していきたい」と堀氏は力を込めた。