2024年2月2日、当分科会とトレンドマイクロ㈱様(以下TM社)の共同主催で情報セキュリティセミナーを開催しました。本セミナーは、昨年当分科会が監修しTM社が行った「セキュリティ成熟度と被害の実態2023」の調査結果(※1)を踏まえ、「サプライチェーンセキュリティ向上セミナー〜CIO経験者達が語る製造業のサプライチェーンセキュリティ向上に向けた課題と対策〜」と題して、17名のユーザ企業様のご出席を得て開催したものです。当日は、まずTM社の石原氏による上記調査結果に関する講演からスタートしました。初めにサプライチェーンリスクの3つの型、即ち、①ソフトウェア・サプライチェーンリスク、②サービス・サプライチェーンリスク、③ビジネス・サプライチェーンリスクの解説の後、今回の調査結果の概要について触れ、以下の3点を結論としてまとめていただきました。①セキュリティ成熟度と従業員規模に相関が見られること、②「経営層の関わり」と「検知時間」が業務停止期間に響いている可能性大であること、③〝従業員規模5000人未満の取引先がランサムウェア攻撃に遭い、その余波が自社に影響する〟パターンが確率的に高いことです。最後のテーマは『セキュリティの樽』(※2)という考え方に基づいて、樽に貯められる水の量をいかに増やすかという観点での議論です。具体的には、戦略①:短い板にならない〜自社のセキュリティレベルを向上させる活動、戦略②:短い板をいれない〜サプライチェーンから外す/外されないための活動、戦略③:短い板でおわらせない〜セキュリティレベルが低い対象への働きかけ〜の3つの視点で対策を図るというものです。続いてモデレーターにTM社の平子氏、パネリストとして当分科会から柄氏、原氏、四本氏の3名が登壇し、基調講演で提示された3つの戦略に基づく具体策について議論を深めました。代表的なテーマを挙げてみると、「経営との関わり」は、「経営層自身のセキュリティの認識を向上させることが必要」「経営層とは日ごろから信頼関係を培うことが肝要」との意見や、「委託先選定」では、「基本はBCPの話で、在庫や代替策を持っておくことが重要」「契約書にセキュリティ条項を盛り込む」が提示され、「海外拠点の課題と対策」については、「インフラの標準化、遠隔・クラウドによるセキュリティ確保、ローカルの優秀な担当者の発見・育成の重要性」、「『事業軸』と『地域軸』の両方を鑑みて優先度を設定する」が指摘されました。最後のパートでは、参加者が4つのグループに分かれ、当分科会メンバーがファシリテーター役となって、意見交換を行いました。「他社の対策状況や工夫を学ぶことができとても参考になった」「同様の機会があれば、また参加したい」と多数の参加者から好評を得ました。活発な意見交換により参加企業の皆様には気付きやヒントが得られ、有意義なセミナーになったと思います。Semnari 情報セキュリティ分科会「サプライチェーンセキュリティ向上セミナー」〜CIOLounge ×トレンドマイクロ様合同セミナー〜当日の出席者※1本調査については、CIO Lounge Magazine 第5号に詳しく掲載している他、2023年11月1日付日本経済新聞本紙および電子版も参照ください。※2樽に貯められる水の量がサプライチェーン全体のセキュリティレベル、樽を構成するそれぞれの板がサプライチェーンを構成する各組織、それぞれの板の長さが各企業のセキュリティレベル。パネルディスカッション(左から、平子氏、柄氏、原氏、四本氏)出所:トレンドマイクロ作成資料Copyright(C) 2024 Trend Micro Incorporated. All rights reserved.TRENDMICROは、トレンドマイクロ株式会社の登録商標です。活動紹介15
元のページ ../index.html#16