社風でタイプ診断､｢ビジョン志向かデータ志向か｣｢外部志向か内部志向か｣の2軸4パターンでわかる“サイバーセキュリティ対策”を講じるヒント

こういった観点から考えると、セキュリティ対策が組織全体にいきわたる形で実施できているのかはもちろんのこと、取引先や委託先など、自社のサプライチェーン全体において、どういったレベルでセキュリティが実現できているのかという点も非常に重要になってきます。

残念ながら現状においては、こうした広い範囲でセキュリティ戦略や対策を徹底できているケースはまだ多くないのではないでしょうか。サプライチェーンまで含めると、その企業規模もさまざまで、コスト面も含め、統一的な対策を一斉に実施するというのは現実的には極めて難しいという実態があります。

そんな現実を受け止めた形で、業界的なセキュリティ対策ガイドラインとして取りまとめられたのが、「自動車産業サイバーセキュリティガイドライン」です。対策すべき事項を3つのレベルに分類し、企業の規模などに応じて、段階的に取り組んでいける内容となっています。

この考え方は、経産省で議論が進められている「サプライチェーン強化に向けたセキュリティ対策評価制度」の中でも、重要なエッセンスとして取り込まれています。

出所：経済産業省・NISC「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ（概要）」

現時点では、まだ中間取りまとめの段階ではありますが、この評価制度によって自動車業界以外においても、サプライチェーン全体でのサイバーセキュリティ施策に取り組んでいきやすくなることが期待されます。

サプライチェーンをセキュリティ対策の面でつなぐ

こうした背景から、セキュリティ関係者に求められる役割が増えました。サプライチェーン全体での取り組みを理解し、自社の位置づけを定義し、取引先や委託先に対しても、どういったレベルで取り組んでほしいのかを伝え、全体的な整合を調整することが期待されます。

少し古い表現にはなってしまいますが、サイバーセキュリティにおける「橋渡し人材」は、かつて経営層と現場をつなぐ役割を期待されていましたが、これからはサプライチェーンをサイバーセキュリティ対策の面でつなぐ役割も担うことになっていきます。

こういった人材をきちんと配置・育成できるかどうかも、サイバーセキュリティにおける組織的な営みの成熟度に大きな影響を与えます。人材の開拓を含め、企業としてのリソース配分については、やはり経営層のリーダーシップが不可欠です。

サイバーセキュリティに関して、経営層の意識と現場側の意識とどちらのほうが高いのかによっても、セキュリティ担当者としての進め方が変わりますが、いずれにせよ、経営層とセキュリティ担当者は協同して、全社として納得感のあるサイバーセキュリティ推進施策となるように取り組んでいくことが必要です。