セキュリティを重視したSCMのコンサルティングサービス、NRIとNRIセキュアが開始

　野村総合研究所（NRI）とNRIセキュアテクノロジーズ（NRIセキュア）が共同で提供するのは、セキュリティ対策を含めたデジタル技術を活用したサプライチェーンの構築に向けたコンサルティングサービス。サプライチェーン全体の経営戦略や実行施策と、セキュリティ施策を統合することで、安心・安全かつ効果的なサプライチェーンの実現を支援する。

　具体的には、NRIの経営コンサルタントがサプライチェーンの“あるべき姿”を描き、NRIセキュアのセキュリティコンサルタントがサプライチェーンにおけるセキュリティ施策を立案する。両社それぞれの関連サービスを強化したほか、NRIセキュアは新たに「サプライチェーン・セキュリティコンサルティング」をメニュー化した。

　NRIが提供する経営コンサルティングでは、戦略立案から計画立案、プロセス改革、現場改革までをカバーする。独自の「サプライチェーン戦略テンプレート」を使って、事業特性や事業戦略を分析することでサプライチェーン全体の課題を導出。そこから現状と将来像を整理したうえで、実行すべき施策を立案するという（図1）。

図1：NRIの「サプライチェーン戦略テンプレート」を用いた支援のイメージ

　一方、NRIセキュアの「サプライチェーン・セキュリティコンサルティング」では、サプライチェーンを支えるネットワーク上のセキュリティリスクを可視化し、課題を導出したうえで必要なセキュリティ施策を立案する。

　サプライチェーンの安全性の評価は、主に2通りのケースを想定して実施する。1つは、サプライヤー（委託先・再委託先）が開発・納入した部品やソフトウェアなどがサイバー攻撃の対象になるケース。もう1つは、グループ会社や自社の海外拠点の情報システム環境が攻撃され本社まで被害が拡大するようなケースである。

　評価結果から、ビジネスの企画構想から情報システムの運用・監視までの各段階におけるサプライチェーンの脅威に対し、最適な解決策を組み合わせて提案する。セキュリティ強化のサービスメニューは、情報システム資産の特性に合わせ（1）製造業向けと（2）金融業／IT業向けを分けて用意している（図2、図3）。

図2：NRIセキュアの「サプライチェーン・セキュリティコンサルティング」の製造業向けサービスメニューのイメージ

図3：NRIセキュアの「サプライチェーン・セキュリティコンサルティング」の金融業／IT業向けサービスメニューのイメージ

　対策の提案だけでなく、サプライチェーンに対し米国や日本の公共機関が定めるガイドラインへの準拠や、セキュリティ対策を推進するPMO（Project Management Office）の構築・運用、製造する製品のためのセキュリティ設計・開発の支援、および委託先の監査などにも対応する。

　NRI／NRIセキュアによれば、市場が多様化・複雑化するなかで、安全で最適なサプライチェーンの構築には、データアナリティクスやセンサーデータの活用など高度な戦略オプションの策定が必要になる。

　一方で、サプライチェーンのネットワーク上の弱点を突くサイバー攻撃が急増しており、コスト管理やサービスレベルの維持・向上に加え、サイバー攻撃に起因する供給停止や情報漏洩などへの備えが求められている。SCMの視点からセキュリティガバナンスを強化していく必要性が高まっている。