テレワークが急激に広がる今、サプライチェーンリスク管理として何をすべきか？

Elad Shapira@Panorays | 2020年3月9日 

新型コロナウイルスの影響を受け、多くの企業は早急にテレワークによる勤務体制の整備を迫られました。この突然の大きな環境変化によって一連の新たなサイバーセキュリティリスクが生じており、セキュリティ担当者は迅速な対応を迫られています。

こうしたサイバーセキュリティリスクの1つは、サプライチェーンです。大企業はテレワーク環境の整備、テレワーク環境への迅速な移行が可能かもしれませんが、サプライチェーンを構成する各企業もそうであるとは限りません。

この激動の時代にサプライチェーンのサイバーレジリエンスを確保するため、イスラエルのPanorays Ltd.の技術を利用したSOMPO CYBER SECURITYのサプライチェーンリスク評価サービスでは、サプライチェーンの評価基準を18個の質問に分類して即時活用が可能です。事業主はこの質問票を用いて、サプライチェーンを構成する各企業のテレワーク環境に対する対策状況を評価できます。

基礎情報

1. テレワークの制度と、それを適切に運用する仕組みはありますか？
2. すでにテレワークが可能な従業員は何人いますか？
3. 日常業務の何割程度が現在のテレワークに適していますか？
4. リモートアクセスのメカニズムは何ですか？
5. どのデバイスがリモートによるデジタル資産へのアクセスが可能ですか？

認証と認可

1. テレワークが可能な従業員に2FA（2要素認証）を義務付けていますか？
2. テレワークが可能な従業員に推測されにくい安全なパスワードの設定を義務付けていますか？

サイバーレジリエンス（回復力）と事業の継続性

1. すべての従業員のリモートアクセスをサポートするようにネットワークが構成されていますか？
2. リモートアクセスによる運用上の問題やサービスへの悪影響があると思いますか？
3. 合意済みのSLAに違反する可能性があると思いますか？
4. 定期的にバックアップを取り、会社が管理する保管場所（会社のGoogleドライブや専用サービスなど）でのみファイルを使用および保存するよう従業員に義務付けていますか？
5. テレワーク用の設備やシステムの冗長化を行っていますか？

手順とプロセス

1. カフェやレストランなどの公共の場で仕事をする際に持つべきセキュリティ意識について従業員を教育していますか？特に、安全性の確認できない公共Wi-Fiは利用せずに、会社貸与の携帯電話などの安全が担保されたネットワークの使用を義務付けていますか？
2. テレワークを許可する前に、上記の手順/プロセスについて従業員を教育しましたか？
3. 支払業務、アカウント作成、アカウント再設定などの業務に関して、通信（メール、電話、IM）の真正性を検証するための明確な手順/プロセス/管理手段を設けていますか？
4. エンドポイントを保護するセキュリティソリューション（アンチウイルス、EDRなど）を導入していますか？
5. サーバー、サービス、エンドポイントのリモートパッチ管理をサポートするツールや手順はありますか？
6. リモートで働く従業員間の安全な通信方法はありますか？

これらの質問は、テレワークを導入したサプライヤーから生じ得るサイバーセキュリティリスクを企業が評価する際に役立ちます。

環境や業務内容の急激な変化を考慮すると、通常のエクセルなどを使った評価プロセスでは、時間と労力といったリソースの確保が難しく、うまく機能しない可能性があります。そのため、プロセスの自動化は不可欠です。自動化により質問票に簡単に質問を追加できるようになり、質問票全体を再送信したり、進捗状況を追跡したり、リスクレベルを測定して迅速に算出したりする必要がなくなります。何よりも、企業はこのプロセスを迅速かつ簡単に拡張して、サプライチェーン全体にセキュリティポリシーを確実に適用できるようになります。