1万5000の製品に5万以上のサプライヤーが関与する大規模サプライチェーンのセキュリティプログラムの内幕

領域2：製品の生産から市場投入

　ここではITとOTの両分野の専門家を確保し、200以上の工場や配送センターに包括的なプログラムを導入し、対策に取り組んでいる（図2）。

図2：シュナイダー・エレクトリックにおける産業制御システムのサイバーセキュリティ

　ITとOTは別々に運用されることが多く、製造ラインの可用性がネックになる。防御機能を持たないレガシーな機器もある。適切なセグメント化やアクセス管理に加え、リスクのあるコンポーネントやデバイスを制御するためのネットワーク機能やファイアウォールなどを追加している。

領域3：テスト運用・試運転

　他社製品などと合わせてエンドユーザー環境にソリューションを導入するプロジェクトのための対策プログラムを組んでいる。顧客の要求に基づいて用意する運用テスト環境や、顧客サイドで実施する統合検査や運転調整などでは、本番環境同様に自社製品が持ち込まれているため、テスト環境向けのセキュリティ対策が必要になる。

領域4：運営・運用

　顧客の環境へのアクセス権限を持つエンジニアやリモートでサポートする従業員の全員に対し「サイバーバッジ」の取得を義務付けている。通常のセキュリティトレーニングに加え、顧客環境におけるセキュリティ問題や侵害の発見・通報に関するトレーニングも受ける。「顧客との信頼関係を築くうえでも重要な取り組みであり、従業員は当社の全てのセキュリティ要件に従う必要がある」（クロスリー氏）

領域5：横断的な活動

　ライフサイクル全体を対象に常に実施する。このうち「顧客からの要件事項については特にグローバルな標準化を意識している」（クロスリー氏）。標準になれば、グローバル企業だけでなく、サプライヤーにも大きな影響を与えられる。

　クロスリー氏は「サプライヤーが何を必要としているかを理解するためにも、世界中の顧客や機関当局と関わるべきだ。グローバルな視点が得られ、調和化に向けた取り組みも促進される」と語る。例えば「IoT（Internet of Things：モノのインターネット）におけるラベリングスキームと評価スキームが国をまたいで調和できれば「グローバルで活躍する製造業にとって望ましい結果が得られるだろう」（同）と期待する。

　シュナイダーの製品に組み込まれるサードパーティ製品のサプライヤーとの連携に向けては、サイバーセキュリティリスクを管理・軽減するための取り組みを進めている（図3）。

図3：サードパーティとの連携を対象にしたサイバーセキュリティリスクの軽減策

　まず、サプライヤーの選定段階でサードーパーティ製品の評価方法を分析する。アセスメントに基づいてエビデンスを検証し、必要に応じて契約条件や条文追加記載などに反映し、サプライヤーのセキュリティ体制がシュナイダーの期待に沿うように促していく。一部製品においては社内認証プロセスも用意し、継続的にモニタリングする。

　重要なサプライヤーとは、クロスリー氏をはじめサイバーセキュリティのリーダーが直接会合を持ち「エビデンスの提出や話し合いなどにより、サプライヤーの製品セキュリティプログラムやサプライチェーンへの理解を深め、関係構築に取り組んでいく」（クロスリー氏）