公式ブログ
Conoris VRM Labo

【解説】『サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて』を読み解く

Posted on:
February 9, 2023

サプライチェーンの責任分担とクラウドサービス

令和4年(2022年)10月28日、経済産業省と公正取引委員会の連名で『サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて』という文書が公開されました。これは、実はクラウドサービス提供企業にとって重要な示唆が含まれている、すなわち、クラウドサービス提供企業にとって必読の文書と言ってもよいものです。

なぜかというと、サプライチェーンにとって、クラウドサービスは必要不可欠な存在になってきているからです。

サプライチェーンとは「供給の連鎖」とも言われ、商品が最終消費者に届くまでの流れを指す言葉です。商品の企画・開発から原材料や部品などの調達、生産、在庫管理、配送、販売、消費まですべてを包含していると言えるでしょう。

生産活動の高度化・グローバル化が進み、サプライチェーンを実現するうえでITは欠かせない存在になりました。そして、サプライチェーンのインフラとなるITにとって、クラウドサービスが欠かせない存在となりつつあります。

クラウドサービスにはIaaS(Infrastructure as a Service)・PaaS(Platform as a Service)・SaaS(Software as a Service)といった種類があります。

中小企業やベンチャーでSaaSの利用が進みつつあるものの、大企業ではどちらかというと、自社開発のシステムを自社のサーバーからIaaSやPaaSに載せ替えたりオンプレミス環境と混在させながら使ったりする事例が多く、企業によって使われるクラウドサービスやその浸透度合いはまちまちです。

ですが、なんらかの形でクラウドサービスを使う企業は今後増えていくことは間違いなく、サプライチェーンの中にクラウドサービスが入り込む流れは必然といえます。

サプライチェーンを構成する企業同士の間では役割と責任を明確にする必要がありますが、その中にはサイバーセキュリティに関することがらも当然含まれます。そして、クラウドサービスがサプライチェーンを構成する以上、クラウドサービスにも役割と責任が発生します。

サプライチェーン攻撃の台頭と対策の必要性

2010年代の終わりごろから、サプライチェーンの弱点を突くサイバー攻撃によって、企業活動が停止する事例が多数発生するようになりました。

これは、企業が自社のセキュリティレベルを確保しようとすればサプライチェーン全体のセキュリティレベルを確保しなければならない時代が到来した、ということでもあります。

そして、前述の通り、クラウドサービスがサプライチェーンに入り込んでいることも多く、クラウドサービスのセキュリティレベルを確保することが、クラウドサービス利用企業にとっては必須となりました。

そのような状況の中で公表されたのが、冒頭で紹介した『サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて』という文書です。

この文書の内容を一言でいえば、「サプライチェーンのセキュリティレベルを確保するため、発注企業が取引先にもセキュリティレベルの確保を求める必要がある」ということに他なりません。

クラウドサービス提供企業にとって、これは「悪い知らせ」に聞こえるかもしれません。

なぜなら、一般的には、発注企業の立場が強く、取引先の立場は弱いということが多いうえ、発注企業の言いなりになって取引先が盲目的にセキュリティレベルの確保に取り組む事態に陥ることが、懸念されるためです。

なぜそのような懸念が生まれるのかというと、それは、当事者がセキュリティに詳しいとは限らないからです。

特に、発注企業側がセキュリティに詳しくないケースでは、この懸念が顕在化しやすいのではないでしょうか。

セキュリティに詳しくないにも関わらず、セキュリティレベルの確保をしなければならないという義務感だけで、発注企業側がセキュリティ要件を闇雲に決めてしまうと、取引先は、それに抗うことは難しいと想像できます。

そして、セキュリティ上、実は意味がない事柄を遵守するという余分なコストを、双方が支払う不毛な状況を招く結果になりかねません。

クラウドサービス提供企業が取り組むべきこと

しかし、この文書をもう少し詳しく読んでいくと、クラウドサービス提供企業が気をつけるべきことも見えてきます。

「第3 取引先との関係構築」に「2 取引先への対策の支援・要請についての考え方」という項目がありますが、ここには、以下のように書かれています。

発注側となる事業者が、取引の相手方に対し、サイバーセキュリティ対策の実施を要請すること自体が直ちに独占禁止法上問題となるものではありません。ただし、要請の方法や内容によっては、独占禁止法上の優越的地位の濫用として問題となることもあるため、注意が必要です。

そして、「優越的地位の濫用として問題となるおそれがある行為」として3つの項目を挙げています。

  1. 取引の対価の一方的決定
  2. セキュリティ対策費の負担の要請
  3. 購入・利用強制

取引の対価の一方的決定」とは、取引先がセキュリティ対策責任者の設置、従業員へのセキュリティ教育の実施、サイバー攻撃による被害発生時における自らが定めた対処フローの遵守といったセキュリティ体制の構築と、有償のセキュリティサービスの利用やセキュリティの認証を含むサイバーセキュリティ対策の実施をしたにもかかわらず、発注側がそのコスト上昇分の取引価格引上げに応じないなどの行為が該当します。

セキュリティ対策費の負担の要請」は、発注側が取引先に対して、費用負担や算出根拠を明確にしないままセキュリティ対策費などの名目で金銭の負担を要請したり、合理的であると認められる範囲を超える負担を要請したりした場合が該当します。

そして、「購入・利用強制」は、取引先がすでに要請通りの、またはそれ以上のサイバーセキュリティ対策を講じているにもかかわらず、発注側が指定する商品の購入や役務の利用を強制するなどの行為が該当します。

ここからは、取引先が一定のセキュリティレベルを確保しているのであれば、取引においてそれを尊重することを求めている、と読めるのではないでしょうか。

クラウドサービス提供企業は、多くの場合「取引先」に当てはまります。

したがって、クラウドサービス提供企業は、自社のクラウドサービスを売り込むにあたって、先んじて一定のセキュリティレベルを確保するために、適切なセキュリティ体制を構築してサイバーセキュリティ対策を実施すればよいのです。

ひと昔前であれば、こういったことがらは不明瞭でした。

そのため、クラウドサービス提供企業はセキュリティへの投資によって価格競争力を失うだけの結果になることを恐れ、セキュリティが大切だということは分かっていながらも投資に踏み切ることがなかなかできなかったのではないでしょうか。

しかし、前述の通り、サプライチェーンの弱点を突くサイバー攻撃によって企業活動が停止する事例が多数発生したことで、発注元・取引先ともセキュリティに投資する機運が熟することとなりました。

そして、そのことを公に明示したものが今回とりあげた『サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて』という文書となったといえます。

サイバーセキュリティへの取り組みの表現としての「セキュリティチェックシート」

さて、クラウドサービス提供企業としては、「では何をすれば一定のセキュリティレベルを確保したことになるのか」という問いが生まれるでしょう。

まず着手すべきことはセキュリティ体制の構築とサイバーセキュリティ対策の実施です。

しかし、実施しただけでは外からは分かりません。

実施したことは、表現する必要があります。

そこで、現在の自社セキュリティの状況を表現する手段とは何か、という問いに辿り着きます。

本来であれば、システム監査を実施する、中立性のある第三者による検証——脆弱性診断やペネトレーションテストといったものを受けるといった、様々な手段に対応できるようにしておくべきですし、セキュリティホワイトペーパーを公開することも効果的なのですが、いまの日本ではいわゆる「セキュリティチェックシート」と呼ばれるものが広く使われています。

セキュリティチェックシートはあくまで自社セキュリティの状況を表現する手段のひとつに過ぎないのですが、様々な理由から広く使われる手段となっています。

そして実はこの「セキュリティチェックシート」については、業務効率の観点からも、セキュリティの観点からも、また発注側も取引先も、非常に不合理な運用が続いているという現状があります。

Conoris Technologiesでは、この問題に立ち向かうべく、クラウドサービス提供企業に向けて無償提供しているConoris Answerをはじめとして、VRM(Vendor Risk Management)プロダクトConorisシリーズを提供しています。そして、本ブログエントリーの公開と同時に、レポート『セキュリティチェックシート回答-意義・傾向・対策 2023-』を公開しました。

https://www.conoris.jp/download-20230207

ホワイトペーパーでは、発注元企業がクラウドサービス提供企業に求めることの多いセキュリティに関する項目や具体的な対応方法、それから、クラウドサービスがおさえておくべきセキュリティ対策について、より詳細に記載しています。

今回解説した文書と合わせてご覧いただくことで、クラウドサービス提供企業が確保すべきセキュリティを素早く理解できるのではないかと期待しています。

そして、クラウドサービスのセキュリティレベルが底上げされることで、クラウドサービス提供企業自身はもとより、クラウドサービスを通してもたらされる「業務が効率化・なくなる気持ち良さ」が少しでも多く世の中へ出ていくことを願っています。

日本の商習慣に合う形でVRM(ベンダーリスクマネジメント)領域のサービスを提供し、日本のクラウドサービスセキュリティチェック業務を改善しようとしています。
ご興味のある方は、ぜひお問い合わせください。
お問い合わせはこちら