1万5000の製品に5万以上のサプライヤーが関与する大規模サプライチェーンのセキュリティプログラムの内幕

社内のリーダー人材育成やサプライヤーの評価も実施

　講演後、本コンファレンスの実行委員でIPA 産業サイバーセキュリティセンター専門委員の青山 友美 氏による質疑応答がなされた。

写真2：実行委員の青山 友美 氏（左）とキャシー・クロスリー氏

――サプライチェーンセキュリティプログラムの構築には、どのくらいの期間を要したか。

　プログラムは最初からまとまっていたわけではなく、徐々に発展させてきた。製品セキュリティと侵入テストは11年前から実施し、ソースコードのプログラムは8年前に始まった。「IEC 62443」に関する取り組みは5年前から本格化させてきている。研究開発のセキュリティプログラムは5〜6年前から導入している。

　業界全体でサプライチェーンセキュリティに関する意識が変化したのも5年前ごろからだ。多くの企業がサードパーティの評価プログラムにセキュリティの観点を取り入れ始めた。

　サプライチェーンのセキュリティに関心のある企業からは「何から始めれば良いか分からない」という相談をよく受ける。そのこともあり、これまでの取り組みで得た経験を元に、重要な要素を68の対策項目にまとめた書籍『Software Supply Chain Security』を記した。事業や製造の規模によっては、もっとコンパクトなプログラムにまとめられるはずだ。

　製品セキュリティについては、製造現場ごとに任命するセキュリティリーダーが、本来業務に加え、セキュリティ対策の理解にも責任を持ち、社内の全員と協力しながらプログラムを構築していくことが重要である。

――セキュリティ業務を支えるセキュリティリーダーを育成する上での工夫点はあるか。

　サイバーセキュリティチームと共に、各部門でセキュリティ業務を遂行する「チャンピオン」と呼ぶリーダーを置いている。製品開発に関わる社員全員がサイバーセキュリティに貢献できるよう促す存在で、各部門に所属するセキュリティの専門家として、製造・流通・開発などの各工程において、例えば新しい生産ラインを立ち上げる際に、セキュリティにどんな影響が出るのかなどを検討している。

　チャンピオンに必要な知識やスキルは部門によって異なる。ソフトウェア開発者のほうが、製造工場でOTを扱う人よりセキュリティの概念は学びやすいかもしれない。興味があり自主的に学ぶ人が望ましい。該当する人材を見つける多面的な評価をし、キャリアパスも用意する。

　セキュリティチャンピオンの教育では、工場セキュリティ、研究開発現場セキュリティ、製品製造セキュリティ、マネジメント層向けの4つのプログラムを用意している。追加研修や認定を推奨するための資金のほか、スキルを競うために社内の侵入テストチームが開発した「キャプチャーダフラッグ」プロジェクトも実施している。

　セキュリティに関するニュースを日常的に見聞きしてセキュリティに興味を持つ社員は多い。彼らの興味を学びに変えていくことがセキュリティプログラムへの理解につながる。マネジメント層もセキュリティリスクが及ぼす影響を正しく理解することも重要だ。

――社内のセキュリティ対策と異なりサードパーティーのリスク評価は非常に難しい。

　ガバナンス対策を導入してセキュリティポリシーを強制し、サーサプライヤーと共通言語を持つだけでは不十分だと考えている。サイバーインシデントは、ほとんどの場合、サプライヤー関連で生じているが、適正な期待値を設定するのは非常に難しい。小規模なサプライヤーなら契約文書などで交渉できるかもしれないが、大規模なサプライヤーに高い基準を課すのは非常に困難だ。

　調達部門では「より安く・より早く・より良い納品」がインセンティブであり、セキュリティは成功指標に含まれないため、社内でも摩擦や意見の相違が生じやすい。セキュリティが万全と思われるサプライヤーでも何かが起きる可能性は低くはない。

　例えばソフトウェアのバグの有無だけでは済まず、バグを利用した攻撃が仕掛けられる可能性がある。サプライチェーンの問題の根幹には、１つの小さな侵害が連鎖反応を起こし大きなトラブルになることがある。

　サプライチェーンへの依存度が高まる中で私は、アセスメントやデューディリジェンスに基づくサプライヤーとの対話を必ず実施すべきだ。ソフトウェアサプライチェーンが途絶えた時の影響やバックアッププラン、復旧などもハードウェアのサプライチェーン同様に自問自答すべきである。

　サプライヤーを優先順位付けする際は、不測の事態への対応も考える必要がある。プロセスや組織、事業などのレジリエンスも大切であり、サプライチェーンは企業のリスク評価リストの最上位に位置づけられるべきだ。