近年、サプライチェーンに対するセキュリティ強化の傾向が高まっています。
サプライチェーンに対するセキュリティ強化の事例として、NIST CSFに基づくサウジアラムコ社のセキュリティ監査(SACS-002)の取組みを紹介します。
サウジアラビア国営の石油会社であるサウジアラムコ社では、サプライチェーンでのサイバーセキュリティを強化するため、取引先に対してNIST サイバーセキュリティフレームワーク(CSF)をベースとしたサイバーセキュリティ監査(SACS-002)の実施を義務付けています。
「SACS-002」について、以下に解説します。
SACS-002とは
サウジアラムコ社は、サプライチェーンに対するサイバーセキュリティを強化するために、NIST サイバーセキュリティフレームワーク(CSF)をベースとした「SACS-002 Third Party Cybersecurity Standard」を作成しています。サウジアラムコ社の取引先は、SACS-002のセキュリティ管理策を準拠することが求められており、サウジアラムコ社指定の監査法人によるサイバーセキュリティ監査を実施した上で、サイバーセキュリティコンプライアンス認証を取得する必要があります。
SACS-002 Third Party Cybersecurity Standardの特徴
SACS-002 Third Party Cybersecurity Standardのセキュリティ管理策は、次の2つがあります。
- すべての取引先が準拠すべきGeneral Requirements
- 取引先の特性に応じて追加で準拠すべきSpecific Requirements
取引先は、サウジアラムコ社が用意したCompany Classificationに基づき該当するクラスを確認した上で、対象となるセキュリティ管理策を準拠する必要があります。
さらに、サウジアラムコ社は定期的にセキュリティ管理策の準拠状況を確認するために、取引先に対して2年ごとにサイバーセキュリティコンプライアンス認証の更新を求めています。
KPMGは、SACS-002の要求事項に基づいて、不足しているセキュリティ管理策の明確化、監査に向けたロードマップの作成等、SACS-002監査に向けた取組みについて総合的な支援を行っています。
また、SACS-002に基づいた監査を提供しているKPMG Saudi Arabiaと連携し、日本におけるサイバーセキュリティコンプライアンス認証の取得も支援しています。
SACS-002をはじめ、サプライチェーンに対するセキュリティや監査対応についてご不明な点などあれば、お気軽にお問い合わせください。