取引先や業務委託先が受けたサイバー攻撃の影響が自社にまで広まり、情報漏えいや営業休止のなどの被害を受ける事件・事故が多く発生しており、「サプライチェーンリスク」がサイバーセキュリティ対策の注目キーワードとなっています。こういった背景から、サイバーセキュリティに関するガイドラインなどで自社の取引先のサイバーセキュリティ対策状況を把握することを求める項目が含まれるようになりました。そこで多くの企業が取引先にサイバーセキュリティ対策の実施状況に関する「チェックシート」を送付するようになってきています。実際に記入を求められたご経験があるご担当者様も多いのではないでしょうか?
本記事では、エムオーテックスが2025年1月に開催したオンラインセミナーにて参加企業様に回答いただいたアンケート結果をもとに、取引先に対するセキュリティチェックの現状をご説明します。
ガイドライン対応サポートアカデミー
専門家の目で強化するサイバーセキュリティ
企業・団体向けのサイバーセキュリティ対策支援コンサルティングパッケージ。チェックシートと専門家の助言で自己点検と課題発見を行い、対策の精度を向上させます。
取引先に対するセキュリティチェックとは
取引先へセキュリティチェックシートを送付し、セキュリティ対策の実施状況を把握する動きは、多くの企業に広がってきています。主に業務委託元となる企業から委託先企業に対して、業界向けのガイドラインやIPA、NISTなどが発行する一般的なガイドラインを参考に、自社と取引をするために最低限必要となるセキュリティ対策の実施項目をリスト化し、それに対してできているかどうかの回答を求めるという形がよくあるパターンです。
企業単位ではなく、業界を挙げてチェックシートを活用したセキュリティ対策の底上げを図ろうとしている動きもあります。自動車業界では、業界団体である「一般社団法人日本自動車工業会(自工会)」と「一般社団法人自動車部品工業会(部工会)」が共同で「自工会/部工会・サイバーセキュリティガイドライン」を発行し、そのガイドラインに付属の自己評価チェックシートを年に1度自工会へ提出するように求めています。
このガイドラインは、OA領域(事務系のNW)を対象としており、「経済産業省 サイバー・フィジカル・セキュリティ対策フレー ムワーク」を中核に、「NIST Cybersecurity Framework v1.1」、「ISO 27001」、「AIAG Cyber Security 3rd Party Information Security 1st Edition」、「IPA 中小企業の 情報セキュリティ対策ガイドライン」をベンチマークし作成されています。自動車業界の企業であるかどうかにかかわらず活用できる内容であるため、異業種の企業で、本ガイドラインのチェックシートをほぼそのまま、自社の取引先向けのチェックシートとしているケースもあるほどです。
一方で、セキュリティチェックを受ける側の企業としては、各社が独自のセキュリティチェックシートを用意する形になっているため、内容や項目に粒度の異なるチェックシートに対応するのが非常に大変であるという声も伺います。
アンケート結果のご紹介
2025年1月23日に、MOTEXでは「なぜ取引先からサイバーセキュリティチェックシートが頻繁に届く?『格付け制度』が始まる!?2025年に取引先の期待にどう応えるべきなのか」というタイトルでオンラインセミナーを開催しました。
400名以上のお客様にお申込みいただき、非常に大きな反響をいただいた本セミナーは、セミナー中にZoomの投票機能を用いてアンケートを行う視聴者参加型で実施しました。そこで取引先からのセキュリティチェックの状況について伺ったアンケート結果をご紹介します。
セミナーに参加されたエンドユーザー企業※のうち62%もの企業が実際に取引先からのセキュリティチェックを受けていると回答しています。さらにそのうち約8割の企業が、複数の取引先からのチェックを受けており、その約半数が5社以上と回答しています。
そして注目したいのは次の設問です。取引先からのチェックを受けていると回答した62%の回答者に対して、自信をもって答えられているかどうかを聞きました。すると半数以上の回答者が「できていない」と回答しました。
※参加企業の内訳として、弊社製品のご販売店様も多く参加されていますが、そのうちお立場をセキュリティプロダクトやサービスの利用企業のみ(n=135)に限定して集計した結果です。
これは一体どういうことなのでしょうか。その背景には、「Aという項目が実施できていると回答するためには、何がどこまでできていればよいのか」が不明確で、判断しにくいということがあります。
例えば皆さんが受け取ったチェックシートに、以下の設問があったとします。皆さんならどのように回答しますか?「長い」とは何文字程度ならOKなのでしょうか。「複雑」とは具体的にはどのようになっていればよいでしょうか。
破られにくい「長い」「複雑な」パスワードを設定していますか?
1つの回答として、IPAのWebサイトでは以下のように記載されています。
こういった「達成基準」(何ができていれば該当項目ができていると判断できるか)が明確でないチェックシートが送られてきた場合に、「自信はないがたぶんできているだろう」で回答してしまっている現状があるということではないでしょうか。
まさにそれを裏付けるアンケート結果もあります。
「自社の情報資産の把握」という内容について、まず自社で対策ができているかどうかを伺いました。そうすると51%の方が「できている」と回答しました。
そして続いて、その51%の回答者に対して「自社の情報資産の把握」に対する達成基準を提示し、この達成基準に照らした時に、本当に対策ができていると言えるかどうかを再度質問しました。すると今度は71%の方が、「できていない/わからない」の回答になってしまいました。
明確な達成基準があれば、それに照らして自社の対策に課題があるかどうかは誰でも正しく判断できます。チェックシートの設問に対して、それができていると回答するためには「何が」「どこまで」できていればいいのか、正しく理解することの必要性が明らかとなったアンケート結果でした。
達成基準が不明確なチェックシートを受け取った場合、その依頼元の企業に確認をすればいいのかもしれませんが、現実はなかなかそういうわけにはいきません。そういったお問い合わせをすることで、「セキュリティ対策がなってない企業」という印象を持たれてしまうかもしれないという心配があるからです。サプライチェーンリスクが大きく警戒される昨今、セキュリティ対策が不十分なことは企業の信頼に大きく影響します。一度マイナスの評価をされてしまうと、新規取引や取引の継続が困難になりかねませんので、基準が不明確な場合も「自信はないがたぶんできているだろう」ですませてしまう現状があるのではないでしょうか。
チェックシートにお困りの方には
「サポートアカデミー」がおすすめ
取引先からのチェックシートに対して、達成基準を不明確にしたままで “なんとなく” 対応してしまうことは非常にもったいないことです。セキュリティチェックシートは、自社のセキュリティ対策状況を振り返り、課題を発見して改善につなげるチャンスだからです。また、取引先からの信頼を得るうえでも危険があります。チェックシートはあくまでも自己申告になるため、信ぴょう性を担保する観点から、チェックシートに加えて訪問での監査を行うケースもあります。監査に入られた際に、チェックシートでは「できている」と回答した内容について課題が見つかれば、大きく信頼を損ねてしまう恐れがあります。
チェックシートの項目に対する「達成基準」を正しく理解し、発見された課題の改善に取り組みましょう。
エムオーテックスでは、サイバーセキュリティ対策について網羅的に自社対策状況の振り返りができ、対策の強化にあたって国家資格を保有するセキュリティコンサルタントが支援する「ガイドライン対応サポートアカデミー」というコンサルティングパッケージをご提供しています。
サポートアカデミーでは、取引先からのセキュリティチェックシートに自信をもって回答できないとお困り場合に、その判断基準としていただける知識・ノウハウも学ぶことができます。ぜひご検討いただき、お気軽にご相談ください。
サイバーセキュリティ対策の強化に取り組むことは、自社をサイバー攻撃から守ることだけでなく、ビジネスチャンスを広げるための武器として活用できます。関連情報をブロブ記事として公開しておりますので、ぜひこちらもチェックしてみてください。
ガイドライン対応サポートアカデミー
専門家の目で強化するサイバーセキュリティ
企業・団体向けのサイバーセキュリティ対策支援コンサルティングパッケージ。チェックシートと専門家の助言で自己点検と課題発見を行い、対策の精度を向上させます。
