マツダ、サプライヤーへの“訪問ヒアリング”でサプライチェーンセキュリティを相互に強化

ヒアリングから浮き出た課題は支援の重要ポイント

　ヒアリング結果は「ヒアリングシート」として整理した（図2）。サプライヤー1社ごとに、クライアント数やサーバー台数といったシステム構成や、セキュリティ担当者や外部委託事業者、サイバー保険の加入状況といった情報をまとめたものだ。「これを基にインシデント発生時の初動対応に活用できる体制を整えた」（林氏）

図2：ヒアリング結果は「ヒアリングシート」にまとめインシデント発生時の初期対応に活用する

　さらに、集計結果からセキュリティの達成度などをグラフ化し、日本自動車工業会の平均と比較しかい離があるポイントの原因を分析した。結果、「情報資産の一覧化や棚卸し、日常の教育など“工数が必要な対策”で業界平均より低い傾向が判明した」（林氏）。具体的には次のような課題が浮き彫りになった。

課題＝セキュリティ人材がいない、専任者がいない ：従業員が300〜2000人規模で、地方都市にある企業では新たな人材確保は難しい。マツダとしては、経営層が対処すべき経営課題として喚起し、社内の人材育成事例を紹介した

課題＝セキュリティ基準などの文書の整備に手が回らない ：ゼロからの作成は難しい。マツダからは、IPA（情報処理推進機構）やJNSA（日本ネットワークセキュリティ協会）などが公開している基準のひな型をベースに、各社に合うようカスタマイズしての利用を提案した

課題＝教育をどうすればよいか分からない ：多面的な側面があるが、マツダからは、セキュリティ教育コンテンツや他社事例を紹介した。新入社員教育や朝の安全ミーティング、幹部登用研修などを教育の機会として利用してもらうことを提案した

課題＝情報収集に手が回らない ：セキュリティに関する情報収集や情報過多の悩みに対し、マツダが選別した情報を提供した

　これらの課題は「支援の重要ポイントとして認識できた」と林氏は話す。ヒアリング活動そのものも「IT部門同士の直接対話の機会創出という点で高い評価を得ており、コミュニケーションの活性化につながっている。他社の対策事例への関心も高いことから「サプライヤー間の情報交換の場の設置も検討している」（同）という。

「訪問ヒアリング」が初動の速度やサプライヤーの意識を高める

　ヒアリング活動におけるポイントとして、林氏は次の３つを挙げる。

ポイント1＝聞くべきところを外さずに聞く ：基本的に「聞かないことは話してもらえない」。一度に全てを聞くのではなく、最初はポイントを絞って聞くとよい。特に重要度の高いところから広げて聞いていく

ポイント2＝できている対策は称賛する ：サプライヤー側の担当者は「できていないことが多い」ことは理解している。その中で、できているところは称賛すべきであり、担当者当人のモチベーションはもちろん社内評価にもつながる

ポイント3：システムが動かなくなったことを想像してもらう ：システムが動かなくなったら事業を継続するために、どういう方法が採れるかを考えてもらい、事前対策を促す

　林氏は、「サプライチェーンのセキュリティ対策の第1歩としては、訪問ヒアリングをお薦めしたい。相互に顔見知りの状態になれれば、インシデント発生時の初動対応の速度が向上する。訪問によりサプライヤー側のセキュリティの意識も向上した」と語る。そのうえで「監査ではなく相互理解に重点を置いた訪問ヒアリングや、実情を踏まえた情報提供などの支援策が重要だ」と指摘する。