• Column
  • 問われるサイバーレジリエンス

DMG森精機、取引企業との直接対話でサプライチェーンのセキュリティを強化

「重要インフラ&産業サイバーセキュリティコンファレンス」より、DMG森精機 情報セキュリティグループ グループ長の堀 勇気 氏

木村 慎治(フリーランスライター)
2024年3月27日

ディスカッション形式での対話により新たな関係性を構築

 一方、サプライチェーンセキュリティの強化では、PDCAを回せることを基本方針に決めた。ここでも現状把握フェーズでは、取引先企業と対面でディスカッションし「趣旨や思いを直接伝えるよう留意した」(堀氏)という。2023年9月から11月の約2カ月で53社を訪問した。

 取引先訪問で一番意識したポイントを堀氏は、「セキュリティの難しさをできるだけ排除することだった」と説明する。ディスカッションには経営層とIT担当者にも参加してもらうためだ。「難しさを極力排除し、取引先自らが対応できるような内容にするよう心がけた」(同)という(図2)。

図2:取引先企業への訪問で現状を把握してから、PDCAを回してセキュリティを強化できるようにした

 訪問時にセキュリティ診断ツールも利用した。堀氏が参加した「産業サイバーセキュリティセンター 中核人材育成プログラム」で作成したもので、「短時間で評価でき、結果が明確」(堀氏)なのが特徴だ。「セキュリティの第一歩」や「強い組織づくり」「リスク評価」など、情報セキュリティの強化に必要な取り組みを「網羅的に診断できる」(同)とする(図3)。

図3:セキュリティ診断ツールを利用し情報セキュリティの現状を網羅的に診断した

 訪問診断の結果、次の3つが判明した。(1)セキュリティ監視サービスの利用が拡大、(2)情報提供の橋渡しの必要性、(3)制御セキュリティへの対策は発展途上である。

(1)セキュリティ監視サービスの利用が拡大

 企業規模に関係なく、セキュリティインシデントが多く発生し、報道もされていることから、各社でセキュリティ強化への意識が高まっている。特にセキュリティ監視サービスを導入している企業を多数確認できた。

(2)情報提供の橋渡しの必要性

 サイバーセキュリティは専門性が高く、「どのように対策すれば良いか分からない」という声が多かった。堀氏は「関連動向やガイドラインの内容などを提供する必要性があると感じた」と話す。

(3)制御セキュリティへの対策は発展途上

 ITセキュリティに対する関心度は非常に高いものの、「工場での制御システムに関するセキュリティは、これからだと感じた」(堀氏)という。「訪問した約50社のうち約8割が、未検討か対策検討中だった」(同)。「稼働継続性を求められる工場で、どのように対策していけば良いのか分からない」という企業が多いとも感じたという。

直接訪問した取引企業の前向きな反応と今後の展望

 直接訪問について取引企業からは「勉強になった」「イメージができた」などのフィードバックが得られた。経営者や役員、IT担当者が一緒にディスカッションに参加できた企業からは「対策が進みそうだ」「継続的に情報提供をしてほしい」といった声もあったという。

 堀氏はディスカッション形式の対話について、「一緒にセキュリティ対策をしていくという関係性の構築や、診断ツールによる対策の必要性の理解、課題認識が実現でき、次のステップに進めるようになった」と評価する。

 「直接訪問は強靭なサプライチェーンを築くための非常に良いきっかけにもなり得る取り組みだったと考えている。この関係性をさらに向上させるために継続的にサプライチェーンセキュリティについて検討していきたい」と堀氏は力を込めた。