サプライチェーン攻撃の脅威とSCS評価制度の必要性
想像してみてください。あるハッカーが、国家の機密情報を扱う巨大な観光庁のデータを盗み出そうとしているとします。
彼らは、その最新鋭のファイヤーボールで守られた観光庁のシステムを真正面から攻撃するでしょうか?
いやー、しないですよね。
ええ、しないんです。彼らが狙うのは、その観光庁にチラシとか事務用品を納入している小さな印刷会社なんです。
というわけで、ようこそサプライチェーン攻撃の時代へ。
ああ、怖いイントロですね。でも、まさにそれが今のサイバーセキュリティにおける最大の脅威なんですよ。
やっぱりそうですか。
ええ。正面突破が難しければ、セキュリティの甘い、いわゆる裏口から侵入する大企業とか観光庁にとって、自社の防壁だけを高くしても、もう全く意味がない状況になっているんです。
なるほど。今回の深掘りでは、この裏口を徹底的に塞ぐために、グニギが動き出した巨大なプロジェクトについて、じっくり読み解いていこうと思います。
はい、よろしくお願いします。
経済産業省やIPA、情報処理推進機構ですね。そこが2027年の3月頃からの本格解消を予定している、通称SCS評価制度。
正式名称は、サプライチェーン強化に向けたセキュリティ対策評価制度というんですが、この膨大な資料を我々読み込んできました。
いやあ、なかなかの分量でしたね、今回も。
そうなんですよ。制度構築の方針書から、細かい要求事項がぎっしり詰まったデータまであって。
読むだけで一苦労という感じの。
ええ。でも、今これをお聞きの皆さんはご安心ください。あなたがその難解な資料と格闘する必要はありません。
はい。
今回のミッションはただ一つです。
日々オフィス用品や事務機器の営業で走り回っているあなたが、担当する観光庁や大企業、あるいは地元の中小企業のお客様に対して、この新制度をどう語ればいいのか。
ええ、そこが一番重要ですよね。
どうやって機器やITツールの相談へとつなげていけばいいのかという、明日から使える実践的なインサイトを抽出していきます。
わかりました。
まずですね、なぜ今こんな制度で必要になっているのか、その背景を理解しておくことがすごく重要です。
はい、背景ですね。
先ほど印刷会社の例が出ましたけど、現実に起きているのはまさにそういう事態なんですよ。
例えば、ある大手スーパーマーケットのシステムがダウンした有名な事件ありましたよね。
ああ、ありましたね。ニュースでかなり大きく報道されて。
ええ、あれ、原因はスーパー自身のシステムじゃなくて、店舗の空調設備を管理している提携業者のネットワークがハッキングされたことだったんです。
空調業者ですか。
そうなんです。そこを踏み台にして、スーパーの本丸のシステムに侵入されたと。
空調業者からスーパーのシステム、へえ、なんかサプライチェーンを伝っていくウイルスみたいで怖いですね。
本当にその通りで、この事態を受けて、発注元である大企業とか観光庁はもうパニックなんですよ。
まあそうなりますよね。自分たちは悪くないのに被害を受けるわけですから。
ええ、うちのシステムとつながっているあの超工場やレイリの業者たちは、本当に大丈夫なのか?って疑心乱起になってしまって。
そこで大企業は独自のセキュリティチェックリストを何十枚も作って、下請け企業に送りつけるようになったんです。
ああ、それ営業現場で本当によく聞く話です。
あ、やっぱりそうですか?
ええ、中小企業のお客様のところに行くと、社長さんが頭を抱えているんですよ。
A社からは100項目のエクセルシートが来て、B社からは独自のセキュリティ市役所にサインしろと言われ、C社からは指定のクラウドツールの導入を求められるっていう。
それはきついですね。
きついですよ。これ、1000人のIT担当者がいないような会社からしたら、完全に限界を超えてるじゃないですか。
おっしゃる通りです。
個々の企業がバラバラの基準で動いている状態では、現場が疲弊するだけでサプライチェーン全体の防御力はちっとも上がらないんです。
なるほど。
そこで国がですね、業界を問わず共通の物差しとして作ったのが、このSCS評価制度というわけなんです。
SCS評価制度の仕組みと営業への影響
企業を格付けして欠差を合わせるのが目的ではなくてですね、
2社間で取引をするときに、うちと付き合うならこの星3のレベルの対策をしておいてくださいね、とシンプルに提示して確認し合うための仕組みなんです。
なるほど。これ、個人的にすごくしっくりくる例えがあるんですけど言っていいですか。
もちろんです。どうぞ。
これって、海外旅行に行くときの変換プラグみたいなものですよね。
ああ、変換プラグ。
今まで取引先ごとに、うちはAタイプのプラグね、うちはOタイプって50種類の違う形のプラグを持たされてパニックになっていた中小企業に対して、国がこの共通アダプターを持っていればどこに行っても繋がりますよ、と提示してくれたような。
それは非常に適応打た表現ですね。まさに共通言語というか共通アダプターです。
ですよね。でもここでお聞きしたいんですが、資料を読む限りこの制度ってあくまで任意の制度ですよね。
はい、任意です。
法律で義務化されるわけじゃない。だとしたら、わざわざ手間とお金をかけてお客様は本当にこれを導入するんでしょうか。
私たち営業が国が推奨する任意の制度ですよって言っても、お客様の財布の紐は簡単には緩まない気がするんですが。
それは鋭い指摘です。確かに法律上の義務ではありません。しかしですね、実態としては極めて強力な強制力を持つことになります。
強制力ですか。
はい。なぜなら、発注元である大企業や官公庁が今後の入札要件とか取引条件の中にSCS消化制度の星3を取得していることという項目を組み込み始めるからです。
えっと、なるほど。つまり、国からの直接的なペナルティー、例えば罰金とかがなくても、対応しないと取引先から仕事がもらえなくなるという。
そうです。ビジネスにおいて最も恐ろしいペナルティーが実質的に発生するわけです。
うわあ、それは強烈ですね。任意であっても実質的な業界の標準、デファクトスタンダードになっちゃうわけだ。
そういうことです。だからこそ、オビス機器やITツールを提案する営業のあなたは、顧客がやらざるを得なくなってパニックになる前に、いち早く解決策を提示する存在にならなければいけないんです。
星3取得のための具体的な要求事項と提案機会
なるほど。じゃあ、具体的にその星の取得って何をすればいいのか、ここからが営業の最前線にいる皆さんにとっての腕の見せどころだと思うんですが、具体的な要求事項を紐解いていきましょうか。
まずは、星3のレベルから。専門家の革命はいるものの、基本的には自己評価で取得できるレベルですよね。
ええ。ただ、基礎的とはいえ、しっかりとした仕組みが求められますよ。例えば、資産管理の要件ですね。
資産管理?
はい。会社にあるパソコン、サーバーの製造元、OSの種類、そして台数を常に正確に把握する仕組みを整えなければなりません。
つまり、総務の担当者がExcelに手入力して、退職者のパソコンがいつまでもリストに残っているような、そういうアナログな管理ではダメだと。
全くダメですね。
ちょっと待ってください。これって、裏を返せば、私たちがIT資産管理ソフトの導入や、管理しやすい最新PCへの一括リプレイスを提案する絶好のチャンスじゃないですか。
ええ、まさにその視点が大事なんです。ただの面倒なルール変更じゃなくて、正規なんですよ。さらに、認証の要件も重要になってきます。
認証ですか?
ええ。ここでは、多要素認証、いわゆるMFAの導入が必須になります。
ああ、多要素認証、IDとパスワードのほかに、スマホに送られてくるワンタイムパスワードとかを入れる、少し面倒なやつですよね。
そうそう、その面倒なやつです。なぜこれがマストなのかというと、ハッカーの手口がコード化していて、知識情報であるパスワードだけでは、もう簡単に盗まれてしまうからなんです。
なるほど。
だから、所有しているもの、例えばスマホとか、あるいは生体情報である指紋や顔など、別の要素を掛け合わせないと、本人確認としては不十分だという基準に変わったんです。
ということは、パスワードだけで運用しているシステムは危険ですから、指紋認証対応のスマートデバイスや、顔認証付きの入体室管理システムに変えましょうという提案が直接的に刺さるわけですね。
その通りです。
星3だけでも、めちゃくちゃ商談のサネが転がってますね。
星4取得のための要求事項とクラウドソリューション
そうなんですよ。では次に、第三者機関の審査が必要になる星4はどうでしょう。これはハードルが一気に上がりますよ。
はい、教えてください。
例えばログの取得と保管の要件です。万が一インシデントが起きたときの調査のために、ファイアウォールやプロキシーなどのログを、なんと6ヶ月間も保管することが求められます。
ちょっと待ってください。現場の感覚から言わせてもらうとですね、私が普段訪問しているような地方の工場で、社長のデスクの奥にWindows7のパソコンが埃をかぶって置いてあるような環境にですよ、プロキシーのログを半年分取れなんて言ったら絶対に鼻で笑われますよ。
そもそもプロキシーって何?って話になりますし、これどうやってそのギャップを埋めるんですか?
そのまま伝えたら確実にそうなりますね。プロキシーというのは、社内のパソコンがインターネットに出るときの身代わりになってくれる中継サーバーのことです。
はいはい。
誰が、いつ、どの外部サイトにアクセスしたかの記録がそこに残るんです。
なるほど。つまり建物の入り口にある防犯カメラのログ画映像みたいなものですね。
すごくわかりやすい例えです。で、問題はその膨大な録画データをどこに安全に保管するかなんです。
ああ、データ容量の問題ですね。
そうです。彼らが使っているような古いオンプレミス、つまり社内に置いてある自前型の古いサーバーに半年分のデータを詰め込むのは、容量的にもセキュリティ的にも無謀です。
そこで私たちが、セキュアな大容量クラウドストレージや最新のNASを提案するわけですね。
そういうことです。
NASっていうのは、ネットワークにつながった賢い外部付けハードディスクみたいなものですから、古いパソコンに保存するのではなく、この全自動でバックアップしてくれる金庫を導入しましょうといえば、一気に現実的な話になりますね。
ええ、そういう翻訳能力が営業には求められるんです。難しい言葉を顧客のメリットに変換する力ですね。さらに、ホシコではネットワークのセグメント分離も求められます。
セグメント分離?また難しい言葉が出てきましたね。
簡単に言えば、社内のネットワークを区切るということです。誰でも出入りできる受付ロビーと、機密情報を扱う金庫室を同じ空間にしてはいけないという考え方ですね。
ああ、なるほど。
重要なサーバーは、別のネットワーク区画に切り離して守る必要があるんです。
空間を分けるんですね。ということは、ネットワークを物理的にあるいは論理的に区切ることができる、より高度な機能を持ったルーターやファイアウォールに入れ替えませんか?という商談に結びつくと。
まさにその通りです。
いやー、これ単にセキュリティのルールが変わりますよって襲すんじゃなくて、だからこの機材が必要なんですよと、すべて理由付きで説明できるのが強いですね。
そこが最も重要なポイントです。顧客が直面する課題を改造度高く理解することで、ただの箱織りから抜け出すことができるんです。
はい。
受注側(中小企業)へのアプローチ戦略
では、顧客の立ち位置によってどうアプローチを変えるべきか、具体的に戦略を練ってみましょうか。
いいですね。これを聞いている営業の皆さんは、本当に多種多様なお客様を持っていますから、
まずは受注側、つまり大企業の下請けに入っている中小企業や個人事業主、地元の共同組合へのアプローチです。
はい。
彼らの最大の恐怖は、先ほど言ったように対策が遅れて取引から外されることですよね。
ええ、明日から保資産取らないと取引停止ね、なんて言われたら、もう死活問題ですから。
だからこそ、営業であるあなたは、SCS評価制度の保資産取得に向けたご準備はお済みですか、といち早くアラートを鳴らす役割を担うんです。
でも、そこで、じゃあ何百万円もかけてシステムを入れ替えてください、と言っても、中小企業にはそんな予算がありませんよね。パニックにさせて終わりになりませんか?
ここが最大のチャンスなんですよ。国も中小企業をただ突き放すわけではありません。
と言いますと?
資料によれば、保資産や保資温の取得を安価に支援するサイバーセキュリティお助け隊サービスという国の支援策の枠組みが拡大される予定なんです。
お助け隊サービス、国の補助金や支援ツールがあるってことですね。
その通りです。営業であるあなたが、この補助金や支援ツールの情報をいち早く提供するわけです。
なるほど。
この国の支援策を使えば、コストを大幅におたえて取引維持に必要な保資産が取れますよ。書類の申請から機器の導入まで私が丸ごとサポートしますと。
それは強烈ですね。お客様からすれば、単にパソコンやルーターを売り引きた業者ではなく、自社のビジネスを存続させてくれるコンサルタントに見えるわけだ。
ええ、信頼関係が一気に深まりますよ。
発注側(大企業)へのアプローチ戦略
では逆に、発注側のお客様へのアプローチはどうでしょう。つまり、観光庁や上場企業、あるいは地域の有力な中核企業ですね。
彼らは予算はありそうですが、悩みも複雑そうです。
彼らの悩みは、自社の下に連なる何百何千というサプライヤーの対策状況をどうやって効率よく管理するか、なんです。
そしてもう一つ、非常に厄介な問題があります。
何ですか?
下請け法や独占禁止法の存在です。
独占禁止法ですか。セキュリティの話とどう繋がるんでしょう。
大企業が一方的に、明日から星産にしろ、費用はそっちで全額もて、と強要したら、それは優越的地位の乱用になりかねないんですよ。
ああ、なるほど、法に触れる可能性があるんですね。
ええ、だから、発注側もサプライヤーと対話をして、適正な価格転嫁に応じたり、場合によってはシステム面での支援をしながら、足並みを揃えていく必要があるんです。
ということは、発注側のお客様に対する私たちの提案は、調達先企業に星産を求めるにあたって、御社側の受け入れ体制や管理システムは整っていますか、という切り口になりますね。
まさにそれです。膨大なサプライヤーから提出される評価結果を管理するプラットフォームの構築とか、先ほど出たセグメント分離に対応した高度なネットワーク機器、さらには複合機に関しても提案できますよ。
複合機ですか、どうやってつなげるんですか?
今まで紙でやり取りしていた機密情報を取引先と安全にデータ共有するためのセキュアな運用ルールと対応機種への入れ替え。
と提案ですね。
なるほど。つまり私たちは今までルーターとかパソコン、複合機といういわゆるものを売っているつもりでいましたが、これからは視点を変えないといけないんですね。
ええ、大企業には何千社というサプライチェーン全体を安全に管理するためのインフラを売る。そして中小企業には大企業とのビジネスを継続するためのパスポート、つまり星産を売る。売っているものの本質が変わるんだ。
顧客のニーズの本質と将来展望
その通りです。よく言われるマーケティングの格言で、顧客はドリルが欲しいのではなく、穴が欲しいというのがありますよね。
はい、有名な言葉ですね。
今回で言えば、顧客はルーターが欲しいのではなく、取引停止のリスクを回避する安心やサプライチェーン全体の統制が欲しいんです。
いやあ、制度の裏側にあるなぜとどうやってを読み解くことで、明日からの営業トークが全く別物に変わりますね。
本当にそう思います。
さて、今回深掘りしてきたSCS評価制度ですが、単なるIT部門向けのルール変更ではなくて、B2B取引の前提条件そのものが根底から売る、動る、ビジネス環境の知覚変動だということがよく見えてきました。
知識というのは応用してこそ初めて意味がありますからね。明日顧客を訪問した際に、この情報をどう使うかが勝負です。
そうですね。今これを聞いている皆さんもぜひ明日担当するお客様との雑談の中でこう問いかけてみてください。最近元受け企業さんからサプレーチェーンのセキュリティ要請って増えていませんか?と。
その一言がお客様の深い悩みを引き出して、新しい大型商談の入り口になるはずです。
はい。
そして最後に一つ、これを聞いているあなたに考えてみていただきたいことがあるんです。
何でしょうか?
今回開設したSCS評価制度は、現段階では星3と星4がメインのお話でした。
しかし資料にはですね、将来的に未知の高度な攻撃への対応を求める星5の検討も進んでいると明記されているんです。
星5ですか。さらに上のレベルが待っていると。
はい。
もし数年後、品質や価格、あるいは長面の付き合いといった要素ではなくて、自社のセキュリティの星の数だけで入札の勝敗や取引の可否が100%決まる時代が来るとしたら。
うわ、それは恐ろしい時代ですね。でも十分あり得る話だ。
ええ。
今度、お客様の前に座って、ただのコピー機やパソコンを売ろうとした時、自問自答してみてください。
あなたはただの機械を売っているのか、それともそのお客様の星5の未来を約束するインフラを売っているのか。
ええ。
校舎の視点を持てる営業こそが、これからのお客様に一生エレバレ続けるパートナーになるんだと思います。
それでは今回のディープダイブはこの辺で。また次回お耳にかかりましょう。