「品質サポートのリーディングカンパニー」として、自動車業界を中心に、品質を守るプロとして日本のモノづくりを支える株式会社グリーンテック。同社は、「自工会/部工会・サイバーセキュリティガイドライン」が標準的に目指すべき水準として定義している「レベル2」水準でのセキュリティ強化を推進している。自動車産業で深刻化するサイバー攻撃の脅威に対応するため、日本自動車工業会(自工会)および日本自動車部品工業会(部工会)が公表している同ガイドラインへの対応は、エムオーテックスが提供する『ガイドライン対応サポートアカデミー(以下サポートアカデミー)』を利用し質の向上を図っている。サービス導入の経緯や効果について、同社 管理本部 DX推進部の佐賀山氏と上野氏に話を聞いた。
サプライチェーンを狙ったサイバー攻撃など、自動車産業を取り巻くサイバーセキュリティリスクの深刻化を受け、業界団体により策定・公表された自工会ガイドラインへの対応は、企業規模や業務内容に関わらず自動車産業に携わるすべての企業が対象となっている。自工会ガイドラインを活用した自社の情報セキュリティの質の向上を推進。
現状ではレベル2を目標としている企業の中でも自己評価で90%の達成ができているとする割合は40%※にとどまっているが、同社は自工会ガイドラインが定める「レベル2」の水準を満たすための項目について、100%達成を目標に取り組みを進めている。
※一般社団法人 日本自動車工業会 総合政策委員会 ICT 部会
一般社団法人 日本自動車部品工業会 IT 対応委員会 サイバーセキュリティ部会
「2023年度 自動車産業サプライチェーンへのサイバーセキュリティ推進活動 集計データ最終結果公表」
https://www.jama.or.jp/operation/it/cyb_sec/docs/cyb_sec_supply_chain_CS_guide_2023.pdf
DX推進部の役割について、佐賀山氏は「セキュリティ対策は全社ごととして取り組んでいる」とした上で、「推進役として全社への情報発信や各部門への対応依頼、それに対するサポートを行っています」と話す。
自工会ガイドラインは全部でレベル1〜3、計153項目あり、レベル1〜2まででも124項目と非常に多くの項目に対応する必要がある。2020年3月に初版が公開され、2021年から毎年自工会が説明会を開催しており、同年12月から自工会ガイドラインに付属の自己評価チェックシートの提出が毎年求められるようになった。
同社における自工会ガイドライン対応の運用について、上野氏は「弊社では、初期の段階から自工会ガイドライン対応に取り組んでおり、毎年自工会へのチェックシート提出を行っています」と話す。
上野氏自身、情報セキュリティの推進担当になってから、チェックシートの対応に取り組んでおり社内で確認し自工会に提出していた。
しかし、セキュリティ対策に完璧や万全はなく常に改善活動を積み重ねることが重要であるとして、「自社だけでなく第三者目線を加えることで、より精度を上げていけるのではないかと考えました。」と上野氏は振り返った。
そこで、第三者の専門家からアドバイスを受けることができる「外部サービスの利用」が検討された。
外部サービスの検討に際しては、「サイバーセキュリティ対策の強化に役立つツールやサービスの情報収集を行う中で、エムオーテックスが提供する『ガイドライン対応サポートアカデミー』の存在を知りました。」と佐賀山氏は振り返った。
「情報収集のために参加したイベントにエムオーテックスが出展しており、そこで『サポートアカデミー』をご紹介いただきました。自社で行っている自工会ガイドライン対応について、第三者によるチェックができるサービスだと感じたため、社内に共有しました。」(佐賀山氏)
その後社内で検討しエムオーテックスの『サポートアカデミー』を導入する決め手となったポイントとして、上野氏は「自工会ガイドラインへの対応を包括的にカバーし、第三者によるチェックやサポートを受けられる点を評価しました。」と振り返った。
「セキュリティ製品のメーカーなどが、提供製品の付帯サービスとして自工会ガイドラインの一部項目の対応支援を行うものがありました。それに対し、エムオーテックスの『サポートアカデミー』は、自工会ガイドライン対応に必要な事項を網羅的にご支援いただけるサービスでした。」(上野氏)そして、サービス内容と第三者によるチェックを行いたいという同社のニーズに合致し導入が決定した。
また、佐賀山氏は、エムオーテックスの『サポートアカデミー』は、自工会ガイドライン全体に対応したサポートとなっている点に共感したという。
「自工会ガイドラインへの対応支援サービスとして、各社が自社製品に関連する自工会ガイドライン項目に対してオプションで支援するというサービスはありました。しかし、エムオーテックスの『サポートアカデミー』は、LANSCOPEなどの自社ソリューションが対応できる範囲に限らず、自工会ガイドラインのすべての項目を支援してくれる点を評価させていただきました。」と佐賀山氏は話した。
こうして『サポートアカデミー』の利用を開始したグリーンテックでは、まずその目的を、「第三者目線での検証を行い自社の情報セキュリティ対策状況の確認」とした。
業界全体でのセキュリティ強化を目的に策定された自工会ガイドラインには付属のチェックシートがあり、各社は自社のセキュリティ対策状況を確認し、入力していく。これに対して、『サポートアカデミー』では「チェックシート添削」という支援メニューを提供している。「チェックシート添削」は、自社で入力済みのチェックシートの内容に対して、情報処理安全確保支援士の国家資格を保有し、業界ガイドラインやさまざまな企業・組織でのセキュリティ対策に精通したエムオーテックスのコンサルタントがアドバイスを行うサービスだ。
同社では、前述の通り、チェックシート入力を通した自社の対策状況の確認に対し、第三者の専門的な視点を入れたいという要望があったため、この「チェックシート添削」を重点的に活用していった。
また、チェックシート入力・添削の前段階としては、「解説講座」の視聴や、メールベースでの「個別相談サービス」を活用した。
サポートアカデミー契約企業専用のポータルサイト上では、自工会ガイドラインやチェックシートの内容を学習できる「解説講座」がオンデマンドで提供されており、自工会ガイドラインの各項目に対して理解を深められる詳細なガイドライン解説に加え、いざチェックシートを入力していく際にポイントとなる、「どういう条件を満たしていれば『2:対応済み』と評価できるのか」といった考え方も解説している。
そして、自工会ガイドラインや解説講座の内容に関する疑問点や、チェックシート入力時の不明点などをメールで相談できる「個別相談」は回数無制限となっている※。
※Web会議で個別相談ができるメニューもあります(回数制限あり)
同社では、チェックシート添削の依頼前に、「解説講座」の動画を視聴し、入力内容が基準を満たしているかを確認。その上で、疑問点について「個別相談」し、コンサルタントからの回答を踏まえて更新した上で、「チェックシート添削」を依頼するというように、段階的に『サポートアカデミー』を利用していった。
上野氏によると、このような流れで『サポートアカデミー』を活用していったことで、同社が目的としていた「自社の情報セキュリティの質向上」について明らかな効果が見られているということだ。
「例えば、自工会ガイドライン項目には『定期的に実施すべき』と定められた項目があります。弊社では定期的に実施できていたので『対応済み』の評価を入力していました。この項目について、コンサルタントによるチェックシート添削を受けたところ、定期的に実施していること証跡として実施記録を残しておくとより良いとアドバイスを受けました。自工会ガイドラインに沿った運用のコツとして実施記録を残すことの重要性の学びになりました。」と上野氏は振り返る。
また、上野氏は、元々抱えていた疑問が、個別相談で解消できた点も『サポートアカデミー』導入の効果に挙げた。
「まずは解説講座で学習し、疑問点を個別相談で解消し、最後にチェックシート添削を受けるというプロセスを踏みましたが、個別に細かな部分も相談できたことが良かったです。自工会ガイドラインで求められる達成基準に対する考え方や評価の付け方について、事前に細かく確認した上で自社の対応状況を振り返り、評価に落とし込むことができたため、チェックシート入力の精度が高まり、より良くするための弊社の改善点を明確に把握することができました。」ということだ。
同社は今後も社内外からの情報セキュリティ技術を活用していき自社の情報セキュリティレベルの向上を図っていくこととした。
さらなる自工会ガイドライン対応を進めていくにあたっては、「『サポートアカデミー』の教育コンテンツである対策講座が有効であると考えています。自工会ガイドラインへの理解を深め、対応を進めるためのノウハウが詰まった動画となっており、今後は対策講座を視聴して得たノウハウを活かして自工会ガイドラインへのさらなる対応を進めていきたいです。」とのことだ。
また、『サポートアカデミー』では、自工会ガイドラインの内容に準拠したセキュリティ関連の「各種規程ひな形」や、「各種運用支援ツール」としてさまざまな管理フォーマットが提供されており、同社ではこれらの管理フォーマットも引き続き参考にしていくとのことだ。
「規程や管理フォーマットは、サポートアカデミー利用前から、すでに自社で一通りのものは用意してきました。しかし、専門家による第三者の目線が必要だと思っており、サポートアカデミー提供のひな型等と自社のものを比較し、必要に応じて参考にしていきたいと考えています。」と上野氏は述べる。
「今後も、サポートアカデミーを活用して、自社の情報セキュリティの質向上を推進していきたいと考えています。」と述べ締めくくった。
※本事例は2025年3月取材当時の内容です。