米国連邦政府/米軍などや防衛省と直接契約し、プロジェクトの主体となるプライム企業(主契約企業)は、サプライチェーンを含む全契約事業者のサイバーセキュリティ対策の責任を持つことになります。一企業として要件を満たすだけでなく、重要データを展開する必要のある下請け企業全ての対応体制を構築することが必要です。
その際、サプライチェーン全体のセキュリティポリシーを策定し、具体策を立案・実行するチームを「ポリシー管理組織(PMA:Policy Management Authority)」と言います。サプライチェーンを巻き込んだ単位でポリシー管理を行うことが必要です。そして、プライム/TIER1企業はサプライヤ各社の遵守を指導、状況把握し、インシデント時に適切な対応を行えるようにする必要があります。
弊社では、PMAを結成するにあたって御社の体制作りをサポートいたします。また、サプライヤ各社への遵守・徹底や支援ツールなどのご提供も可能です。
なお、サプライヤ各社も複数のプロジェクトを対応しており、それぞれ矛盾する対応策を指示されても混乱が深まるだけであり、それぞれのポリシーの整合も良く吟味することが重要です。以下に、ポリシー策定のイメージを示します。
対策のポイントとしては、
- 複数の事業者がデータの共有を行いつつ、昨今の高度なサイバー攻撃に耐えるシステムを各社が独自に運用・保守することは却ってリスクがあり、コストも嵩むことが理解されてきています。代わって、それなりにレベルの高いセキュリティ対策を実施している「クラウドサービス」を活用することが、安全でコストも少ないだろうと言われています。
- 「対象データは暗号化」することを基本とし、利用者識別を強力に行う「認証基盤」を備えることが背景の条件として必要なものであると認識されています。以下に、サプライチェーン全体に対する理想の対策イメージを示します。
これら、システム技術的な対策の他、運用ルールもある程度共通化することが必要となります。弊社では、中小企業も最小限守るべき事項で、日米政府の要件を満たし、コスト的にもミニマムとなる管理策の案を「エヴァ・エッセンシャルズ」として作ってみました。
