自動車産業におけるサプライチェーンのセキュリティ対策、知っていますか??
皆様こんにちは。日本IBMの藤原です。
昨年は大手企業のサプライチェーンを狙う攻撃が話題になることが多かったですね。実際に某製造業では、まさにサプライチェーンが攻撃を受け、数日製造ラインが停止するなど非常に影響の大きい事態に発展したことも記憶に新しいかと思います。
IPAが公開している「情報セキュリティ10大脅威 2023」でも、前年から1つ順位を上げて2位にランクインしており、イメージと変わらず実際にもサプライチェーンの脅威はより大きくなっていることがうかがえます。
出典:情報セキュリティ10大脅威 2023:IPA 独立行政法人 情報処理推進機構
自工会/部工会サイバーセキュリティガイドライン v2
そんな中日本では、2022年3月に自動車産業における自工会/部工会 サイバーセキュリティガイドラインが改訂されました。
本ガイドラインは自動車産業全体のサイバーセキュリティ対策のレベルアップ、対策状況の効率的な点検を推進することを目的として日本自動車工業会(自工会)、日本自動車部品工業会(部工会)が共同で2020年3月に初版が策定されたもので、今回の改訂により全21項目の要求事項と153項目の達成条件で構成されています。これら項目は向こう3年間で全項目達成を目標とし、3段階のレベル分けで段階的に対策していくことで、現時点の目指すべき姿を達成できるような作りとなっています。
出典:自工会/部工会・サイバーセキュリティガイドライン
既に海外では、ドイツ自動車工業会が策定した「TISAX(Trusted Information Security Assessment Exchange)」というセキュリティ評価基準に基づき、認証機関の審査を受ける制度があります。こちらは「自己評価」と「外部の審査員による審査」両方を満たすことで認証を得ることができ、サイバーセキュリティガイドラインよりも明確に自動車メーカはサプライヤーに対してTISAX認証を取得していることが求められます。TISAXの認証を取得することが情報セキュリティ対策の一定水準を超えていることを示すので、メーカはある一定の信頼をサプライチェーンに置いたうえで取引ができる、ということになります。外部審査もあるというところで、日本のガイドラインが描きたい姿はこのようなものかもしれません。
ガイドラインの具体的な内容
本ガイドラインの想定されている活用方法は、対策状況の確認、企業間の信頼関係構築、自社でのセキュリティ啓発の3つが示されています。
本ガイドラインの対応はあくまで任意で、未対応による罰金や罰則などは設けられておりませんが、サプライチェーン間の信頼という面において、最終的には全項目に達成することが求められます。
細かく中身を見ていくと、社内セキュリティポリシーやルール、体制の整備、インシデント発生時の対応手順、アカウント管理ルールなどの組織としての決め事を作るところから、振る舞い検知や遠隔隔離、ログ分析といったITツールの導入が必要な項目まで多岐にわたっており、一筋縄ではいかない内容となっております。
例えば以下のような2項目はそれぞれ138項はEDR,145項はログ監視(SIEMなど)の導入が対応例となっています。
IBM × ビジネスパートナーでガイドライン対応をご支援!!
弊社IBMでは、ビジネスパートナーであるセントラルソフトサービス(以下CSS)様とともに、自工会/部工会サイバーセキュリティガイドライン対応のためのITツール導入と運用をご支援いたします!CSS様とタッグを組み、先に記載したセキュリティの技術ツール、具体的にはAIを活用したEDRソリューション「ReaQta」、長年業界でのリーダーポジションに位置するログ分析SIEMソリューション「QRadar SIEM」をワンストップで提供いたします。
もし気になる方いましたら別途弊社Webページにアクセスをお願いします!
取引先からのセキュリティ強化要請にお困りの情報システム担当者の皆様へ | IBM ソリューション ブログ
本内容をお読みいただき、気になる点、ご相談などございましたら以下のお問い合わせフォームよりお気軽にご連絡いただけますと幸いです。是非ともお待ちしております。
問い合わせフォーム
ここまでお読みいただきありがとうございました。
日本アイ・ビー・エム株式会社
テクノロジー事業本部 デジタルセールス事業部 Platformデジタル営業部
藤原 圭汰
Email:Keita.Fujiwara@ibm.com
LinkedInでも情報発信しています。お気軽につながりお待ちしております。
https://www.linkedin.com/in/keitafujiwara-2535a1240
この記事が気に入ったらサポートをしてみませんか?