サイバー対策で取引先選別の記事と警察庁 長官官房審議官の講演

サイバー対策で取引先選別　事業停止リスク回避　キオクシア、3000社点検/TOPPAN、除外も検討 – 日本経済新聞

この記事は、経済安全保障の観点から、大手企業がサプライチェーン全体のサイバーセキュリティ強化を本格化している動きについて8月6日に報じたものでした。

この記事をきっかけに、JAPHIC、Pマーク、ISO27001といった認証を上手く使いましょうという提案をしよう、と思って約1カ月。「下書き保存」！

本日(8月29日)、警察庁 長官官房審議官（サイバー警察局担当） 阿部 文彦 氏の講演を聞く機会があり、下書き保存から掘り起こしています。

まずは、大手企業がサプライチェーン全体のサイバーセキュリティ強化を本格化している動きについてポイントをチェックしましょう。

キオクシアの取り組み

SSDセキュリティと暗号化 | KIOXIA – Japan (日本語)

• 約3,000社の取引先のサイバーセキュリティ対策を点検
• セキュリティレベルが不十分な企業との契約見直しも検討
• 半導体メーカーとして経済安全保障上の重要性から対策を強化

TOPPANの取り組み

情報セキュリティ | TOPPANホールディングス株式会社

• サイバー対策が不十分な取引先の取引除外も検討
• データ委託先について特に厳格な基準を適用予定

背景となる課題

1. サプライチェーン攻撃のリスク拡大

   • 1社のセキュリティ被害が取引先全体に波及
   • 2022年のトヨタ全工場停止事件（小島プレス工業への攻撃が原因）などの実例ハッカーに狙われたトヨタ、小島プレスへの攻撃で国内全工場停止 | 日経クロステック（xTECH）

2. 中小企業のセキュリティ脆弱性

   • ランサムウェア被害の6割以上が中小企業に集中
   • 予算・人材制約によりセキュリティ対策が不十分

対策の特徴

• 大企業による協力的アプローチ

  • DMG森精機はIT部門と調達部門が取引先を訪問してサポートサプライヤマネジメント | サプライチェーンマネジメント | サステナビリティ | DMG MORI
  • 研修会開催など、「切り捨て」ではなく「底上げ」志向

• 政府の制度化「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました （METI/経済産業省）

  • 2026年度からサイバーセキュリティの「格付け制度」導入予定
  • 5段階評価で将来的に入札・取引の基準となる可能性

これらの動きは、大手企業やサプライチェーンに特化した話しではないということ。

ニュースや大手企業のサイトから最近の動向を踏まえた上で、

次は、警察庁 長官官房審議官（サイバー警察局担当） 阿部 文彦 氏の講演を受けてのレポートをまとめたいと思います。

認証取得してもしなくても、対策は必須。

それは災害対策と同じです。

災害対策用の「キット」や「セット」はいろいろあります。情報セキュリティ対策でいうところの認証も「キット」や「セット」のようなものかもしれません。

「キット」や「セット」を使わなくても、対策は必須。

講演を聴いて、JAPHIC審査事務局としても、官民協力体制を考えて模索していこうと思いました。

続きは明日か明後日か、、、、次回。