取引先から突然、「セキュリティチェックシートを提出してください」と連絡が入る。製造業の現場では、こうした場面が増えていると聞きます。提出期限は2〜3週間後。社内に情報セキュリティを専任で担当する人間はおらず、ISMSもプライバシーマークも取得していない。何から手をつければいいか、わからない——。
いま、業種や企業規模に関わらず、多くの中小製造業が直面しているのはこういった状況ではないでしょうか。
チェックシートを受け取った担当者が最初に感じるのは「うちは認証を持っていないから、正直に書いたら取引を切られるのでは」という不安です。しかし実際には、認証の有無だけが評価されるわけではありません。現状の対策内容を正確に・誠実に示すことが、発注側の求めていることです。
この記事では、製造業の中小企業がセキュリティチェックシートに回答する際に問われやすい設問カテゴリと、ISMS未取得でも実態を正確に伝えるための考え方を解説します。あわせて、今回の対応を機に最低限整えておきたい社内の体制についても触れます。
製造業にセキュリティチェックシートが届く背景
サプライチェーン対策の強化が求める「証拠」
近年、大手メーカーやOEMメーカーがサイバー攻撃を受けたケースの多くで、侵入経路が取引先・外注先であったことが明らかになっています。攻撃者は防御が手厚い発注元を直接狙うより、セキュリティ対策が手薄な中小の協力会社を経由してシステムに侵入する手口(サプライチェーン攻撃)を選ぶ傾向があります。こうした背景から、発注側は一次・二次サプライヤーに対して、セキュリティ対策状況の確認を義務付ける方向に動いています。
経済産業省の「サイバーセキュリティ経営ガイドライン」(Ver3.0)でも、サプライチェーン全体での対策推進が経営者の重要10項目のひとつとして位置づけられており、チェックシートの送付はその実践的な手段として定着しつつあります。サプライチェーン攻撃の背景と中小企業が問われる説明責任についても、別記事で詳しく解説しています。
「うちには関係ない」が通じなくなった理由
設計図面・部品仕様・試作データ・顧客の注文情報など、製造業の現場には機密性の高い情報が日常的に流通しています。取り扱う情報の性質上、製造業は標的型攻撃の対象になりやすく、発注側もそのリスクを認識しています。従業員が数名規模であっても、技術情報を扱う事業者であれば、セキュリティ対応を求められる場面はこれからも増えていく傾向があります。
「うちは小さいから関係ない」という判断が通用しなくなったのは、攻撃者の視点からすれば規模より情報の価値が優先されるからです。製造業特有の事情として、このことは特に意識しておく必要があります。
チェックシートで問われやすい設問カテゴリと回答の考え方
組織・体制に関する設問(責任者の有無・規程の整備)
「情報セキュリティ責任者を設置していますか」「セキュリティポリシーを策定していますか」という設問は、ほぼすべてのチェックシートに含まれています。ISMS未取得でも、代表者や総務担当者を責任者として任命し、「情報セキュリティ基本方針」を1〜2ページで文書化してあれば、「設置している(認証なし)」として記載できます。
何も整備していない状態で「なし」と書くより、最低限の対応状況を正確に伝えることが重要です。認証の有無とは別に、取り組みの実態を言葉にして示すことが、発注側との信頼関係を維持するための基本です。情報セキュリティ基本方針の作り方については、中小企業が情報セキュリティポリシーを作る手順で詳しく解説しています。
技術的対策に関する設問(パスワード・アップデート・アクセス管理)
「OSやソフトウェアは定期的に更新していますか」「パスワードポリシーを定めていますか」といった設問は、独立行政法人 情報処理推進機構(IPA)の「情報セキュリティ6か条」に準拠した基本対策で対応できます。工場の生産設備に接続するPCや、設計データを扱う端末については、更新作業の計画的な実施とアクセス権限の整理が特に問われやすいポイントです。
「運用している」と回答する場合は、その実態が伴っているかを先に確認しておく必要があります。書面と現場のギャップがあると、取引先からの追加確認や差し戻しにつながるおそれがあります。
外注先・サプライチェーンに関する設問
「外注先のセキュリティ対策を確認していますか」「業務委託契約に機密保持条項を設けていますか」という設問は、製造業特有の難所です。加工・組み立てを外注している場合、その先のセキュリティ状況を把握していないことが多いからです。
NDA(秘密保持契約)や業務委託契約にセキュリティ条項を追加することで、「契約上の要求事項として定めている」と記載できる状態を作ることが、実務的な対応の第一歩になります。既存の契約書を見直し、条項が不足していれば追加・修正することを、今回のチェックシート対応と並行して検討することをお勧めします。
「認証なし」でも正確に・適切に回答するための考え方
「なし」と「未整備」を区別して現状を正確に伝える
ISMS・プライバシーマーク未取得であっても、何らかの対策を講じていれば、その実態を具体的に記載することができます。「認証取得なし」はあくまで認証の有無であり、対策の有無とは別の話です。
「ウイルス対策ソフトを全端末に導入しており、定義ファイルは自動更新で管理している」「入退室は社員証によるICカード管理を行っている」といった形で実態を文章として記述することが、発注側への誠実な回答になります。設問に対して「なし」の一言で済ませてしまうと、実際には対策を講じていても、何もしていない事業者と同じ評価を受けるおそれがあります。
SECURITY ACTIONを活用した自己宣言の方法
IPAが運営するSECURITY ACTIONは、中小企業が自己宣言する形式のセキュリティ取り組み認定制度です。審査は不要で、「情報セキュリティ6か条」(一つ星)への取り組み宣言であれば、今すぐにでも対応に向けて動き出すことができます。チェックシートの「セキュリティに関する取り組み・認定」欄に記載でき、「認証なし」から「自己宣言あり」に変わるだけで、回答の厚みが出ます。
一つ星と二つ星の違いや、どちらを選ぶべきかについては、SECURITY ACTIONの一つ星と二つ星の違いと目的別の選び方で整理しています。チェックシート提出の前後を問わず、登録しておく価値のある制度です。
回答と並行して整備すべき最低限の対策
「情報セキュリティ基本方針」の文書化
1〜2ページの文書でも、策定・公開していれば組織体制に関する設問の大半に対応できます。記載すべき内容は、対策の目的・責任者・主な対策方針・見直しの周期の4点です。テンプレートを流用する場合も、自社の事業内容・規模・扱う情報の種類に合わせて書き直すことが必要です。
他社からコピーした文書では、審査の過程で「実態を反映していない」と判断されるリスクがありますし、何より万が一の事故発生時に文書と実態のズレが判明し、取引先からの信用を失いかねません。文章の精度よりも、自社の実態に即した内容になっているかどうかが、発注側の判断基準になります。
生産設備と事務系システムが混在する環境の整理
製造業のセキュリティ対応で見落とされやすいのが、工場内の生産設備(OT環境)と事務系ネットワーク(IT環境)が混在した状態です。設備制御用のPCが社内LANと同じセグメントに置かれている、製造ラインに接続された端末が長年OSのアップデートを行えていない、設計データのNASに全員がアクセスできる状態になっている。こうした実態は、製造業の現場では珍しくありません。
OT/IT混在環境はサイバー攻撃の侵入経路として狙われやすく、発注側も近年この点を設問に盛り込む傾向があります。棚卸しの手順として、端末の一覧化・OSバージョンの確認・ネットワーク構成の把握・共有フォルダのアクセス権限の見直しを行うだけでも、次のチェックシート回答時の状況は変わります。チェックシート対応を機に着手することが、この問題への最短経路となります。
提出前に確認するセルフチェックリスト
- 情報セキュリティ基本方針が文書化され、社内で共有されているか確認する
- 情報セキュリティ責任者(または担当者)の氏名と役職が明確に特定されているか確認する
- すべてのPC・サーバーにウイルス対策ソフトが導入され、定義ファイルが最新の状態に保たれているか確認する
- 主要なシステムのIDとパスワードが個人任せになっておらず、変更ルールや複雑性の基準が定められているか確認する
- 外注先との契約書に機密保持条項またはセキュリティ条項が含まれているか確認する
- 生産設備に接続されたPC・端末のOSバージョンと更新状況を把握しているか確認する
- 重要データ(設計図面・顧客情報等)へのアクセス権限が必要最小限の担当者に限定されているか確認する
- インシデント発生時の連絡先と対応手順を担当者が把握しているか確認する
- 回答内容が現在の実態と一致しているか(誇張・過小申告がないか)最終確認する
まとめ
セキュリティチェックシートへの対応は、「提出するために書く」で終わらせないことが重要です。回答の過程で自社の現状を棚卸しすることで、次の取引先要求に備えた体制整備の起点にできます。認証を持たない段階でも、実態を正確に示し、継続的な改善の意志を文書で示すことが、発注側との信頼関係を維持する実務的な方法です。
なお、取引先からのセキュリティ確認は一度提出して終わりではなく、契約継続や新規取引の都度、定期的に届くのが実態です。今回の対応内容と整備した文書を社内に記録として残しておくことが、次回以降の対応工数を大きく削減します。製造業固有のOT/IT混在環境の整理は、チェックシート対応を機に着手するのが最短経路となります。
ご相談について
セキュリティチェックシートへの回答に不安がある場合や、回答前に自社の対策状況を整理したい場合は、一度ご相談ください。情報処理安全確保支援士(登録セキスペ)として、製造業の現場実態に即した回答支援と体制整備のサポートを行っています。
初回のご相談では、以下を確認しながら対応方針をお伝えします。
- 受け取ったチェックシートの設問内容と回答期限
- 現状の対策状況(書面・口頭どちらでも可)
- 取引先との関係性・契約状況
まずはお気軽にお問い合わせください
情報処理安全確保支援士(登録セキスペ)/行政書士/個人情報保護士
ビーンズセキュリティサービス代表(ビーンズ行政書士事務所内)
「セキュリティが詳しくない経営者でも、統制できる仕組みを作る」をテーマに、情報処理安全確保支援士と行政書士のダブル国家資格を持つ専門家。中小企業の経営者・役員向けに各社に適したセキュリティの”はじめの一歩”をご提案します。
▶ お問い合わせ