経済産業省は１４日、「サプライチェーン（供給網）強化に向けたセキュリティー対策評価制度構築に向けた中間まとめ」を公表した。政策化し、２０２６年度中にも一部制度の開始を目指す。政府機関や発電などの重要インフラ企業に加え「サプライチェーンを構成する企業の事業停止がサプライチェーン全体に波及するリスクのある業界」として自動車産業を例示し、優先的に制度の活用を促していく考えだ。

　経産省「産業サイバーセキュリティー研究会」の担当ワーキンググループがまとめた。まず、企業のサイバーセキュリティー対策を３段階で評価する。一般的なサイバー攻撃対応を求める「三つ星（★３）」では、システムの脆弱（ぜいじゃく）性などを悪用するサイバー攻撃を想定し、自社ＩＴ基盤への初期侵入や被害拡大への対策などを自己評価する。取引先への報告や情報共有のスキーム構築なども必要とした。

　「四つ星（★４）」では、供給網全体に大きな影響をもたらすサイバー攻撃を想定。セキュリティーの継続的な改善や取引先の管理、システムの防御、検知などを求める。「五つ星（★５）」では、未知の攻撃も含めた高度なサイバー攻撃を想定し、国際規格などに基づくマネジメントシステムの確立なども求める。★４と★５は第三者評価とする。

　評価制度は強制ではないものの、今後、供給先が調達先を選定する上での指針の一つになる可能性が高い。★３、★４に関しては、具体的な評価内容やスキームを年度内に決定し、２６年度から運用する方針だ。

　自動車業界では２２年に小島プレス工業（小島栄二社長、愛知県豊田市）が身代金要求型ウイルスの「ランサムウエア」攻撃を受け、トヨタ自動車が国内全工場の稼働を停止する事態に陥った。ヨロズやアルプスアルパイン、ミネベアミツミなどもサイバー攻撃で被害を被った。供給網の階層が複雑な自動車産業は、サイバー攻撃によって自動車や部品の生産停止に追い込まれるケースも少なくない。経産省としては、中小企業を含む企業側に必要な対策を示すことで、供給網全体のセキュリティー水準を底上げし、生産停止などの被害を最小化したい考えだ。

日刊自動車新聞4月15日掲載