2030年問題で解決はいよいよ困難になるサプライチェーンリスクへの処方箋は――NRIセキュアテクノロジーズ 足立道拡氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

技術革新に伴ってビジネス連携が広範化し、企業間のつながりが多様化。つながるビジネスによって、アタックサーフェス、攻撃対象領域が広がり、セキュリティ担当者が警戒すべき領域が拡大している。

[高橋睦美，ITmedia]

　つまり、ただでさえ労働力人口が減少し、人材不足が深刻化する中、サプライチェーン統制で管理すべき対象は増加していくことになる。となると「統制対象が増えた分は増員でカバーしよう、といった従来の延長線上の発想は、今後、統制範囲が増え続け、増員の難易度が著しく上がる時代には通用しなくなります」と足立氏は指摘した。

　足立氏はこういった要因を説明し、「避けられない2030年問題に対し、今こそ統制業務の次世代シフトに着手すべきです」と述べ、問題が目前に迫ってからではなく、今のうちに検討すべきと呼びかけた。

人を前提とした統制から、仕組み化した持続可能な統制へのシフトを

　では、その次世代サプライチェーン統制に求められるポイントとは何だろうか。

　足立氏は、国内委託先の統制状況が80％に達している米国企業のサプライチェーン統制の実現方法からヒントが得られるとし、「人前提の統制から、仕組みによる持続可能な統制にシフトしていくところがポイントになります」と述べた。

　米国流のサイバー観点でのサードパーティリスクマネジメント（TPRM）では、大量の委託先管理を効率的に、そして継続的に実現するため「仕組み化」が進んでいる。

　TPRMでは、まずサードパーティの一覧を作成し、重要度を評価した上で、それぞれのセキュリティリスクを評価する。そして、そのリスクに基づいて契約締結の可否を判断していくという流れだ。さらに契約を結んでも終わりではなく、その後も継続的にモニタリングできる仕組みを構築していく必要がある。

サイバー観点でのTPRMのプロセス

　足立氏は、一連の流れを仕組み化していく際のポイントをいくつか紹介した。

　1つ目は、いわゆるスモールスタートの発想で、重要度の高い対象から小さく始め、徐々に対象範囲を広げていく。このとき、重要度に応じて異なる評価指標を組み合わせることで、リスクベースのアプローチが実現できる。

　「グループ統制や委託先管理というと、全ての対象を一括で管理する発想になりがちです。しかし限られた人数で全てを回すのが困難な状況では、なかなか腰が上がらないかもしれません。そこで、評価に基づいて重要度の高い対象から始め、そこで培ったノウハウや成功体験を拡大していくという発想です」（足立氏）

　2つ目は、評価手法を適切に使い分けることだ。「全ての拠点に均一的な評価を実施するのではなく、委託先の重要度に応じた統制、モニタリング手法を組み合わせていきます」（足立氏）。重要度を見極める手法として、セキュリティレーティングによる自動評価や、OSINTを組み合わせた脅威情報などが活用できるとした。

　その上で、「AIを委託しているのであればAIに関しての調査項目を追加するといった具合に、汎用的な評価だけでなく、その企業に委託している業務にまつわるリスクなどをアンケート調査で補っていくことで、360度評価を実現可能です」と足立氏は説明した。

ツールによる自動化、省力化を組み合わせ、次世代サプライチェーン統制の実現を

　最後に足立氏は、TPRMを支援するセキュリティ評価プラットフォーム「Secure SketCH」について紹介した。自社はもちろん、グループ会社やサードパーティのセキュリティ対策状況を評価し、可視化し、推奨事項とともに示すサービスだ。偏差値などの数字で定量的に対策状況が示されるため、経営にレポーティングしやすいことも特徴という。

　ビジネスのつながりが広がり続ける現在、企業によっては100社、場合によっては1000社以上の委託先やパートナーを持ち、それらにどう統制をかけていくかは頭の痛い問題だ。足立氏はこの課題に対し、「1000以上の対象に対して、表計算ソフトで細かくチェックしていくのは非現実的です。ドメイン情報のみでセキュリティをレーティングする自動評価を組み合わせることで、きちんと統制をかけていく発想が求められています」と述べた。

お客さまのTPRMを実現する司令塔へ

　2030年問題は避けられず、企業の人材不足感はいっそう高まることになるだろう。その中で、より多くの対象を効率的に管理していくために、「人を前提とした統制から脱却し、自動化、省力化を使って持続可能な仕組みをポイントとした次世代サプライチェーン統制がポイントになります」（足立氏）