伊予銀行、SecurityScorecardでサプライチェーンリスク管理を強化

　伊予銀行は、リスクレーティングツール「SecurityScorecard」の活用で外部委託先管理を強化した。9月4日、同ツールの提供、導入支援などを行うマクニカが発表した。約300社に及ぶ外部委託先のセキュリティ態勢を客観的に継続して評価できるようになった。これにより、委託先選定の安全性を高めるとともに、サプライチェーン全体のセキュリティ意識向上を図る。

　近年、サプライチェーンを狙ったサイバー攻撃が増加し、多くの企業が取引先を含めたセキュリティ対策の見直しを迫られている。経済産業省も2026年度を目途にサプライチェーン企業の格付け制度を開始する政策案を発表するなど、サプライチェーン全体でのセキュリティ強化が求められている状況だ。

　伊予銀行では、2024年8月に業務委託先がランサムウェアの被害に遭うインシデントが発生した。従来の外部委託先の評価手法では客観性が不十分で、評価軸も明確ではなかったため、事態の再発防止に向け同行およびグループ会社に加え、約300社の外部委託先を含むサプライチェーン全体のセキュリティ態勢を継続的に把握できるソリューションの検討を開始した。

　複数のサービスを比較検討した結果、外部セキュリティリスクを診断し可視化・定量化できるSecurityScorecardの採用を決めた。選定理由としては、自社だけでなくサプライチェーンリスクマネジメントツールとして外部委託先の管理に活用できる点、本質的な基準に基づくスコアリング指標を持つ点、具体的な問題点と改善に向けた推奨アクションプランが提示される点などが挙げられた。また、レポートが分かりやすく、システムの専門家でなくても直感的に利用できる操作性も評価した。

　SecurityScorecardの導入により、新規および既存の委託先に対して年1回の定期チェックを実施し、スコアが低い場合は契約の再検討を行うなど、客観的で定量的な評価軸に基づくセキュアな委託先の選定が可能になった。委託先企業も改善点が具体的に分かるため、セキュリティ対策を講じやすくなり、現場の意識向上にもつながっている。

　伊予銀行は、将来的にはセキュリティ評価のスコアを公開することが標準になると想定し、グループ会社や外部委託先を含めたKPI（重要業績評価指標）となるスコア目標を定める方針を検討している。

ニュースリリース