loading...
由於日本企業接連遭遇重大網路攻擊,日本政府準備推出新制度,要求大企業在採購環節合理分攤供應商的資安成本,以提升整體產業鏈的防護能力。
據《日經亞洲》報導,此舉由日本經濟產業省與日本公平交易委員會(JFTC)共同推動,並計畫在2027年3月前建立統一的資安等級標準。
日本政府認為,中小企業因資金與技術不足,往往成為駭客滲透大型企業的切入點。2022年,豐田汽車(Toyota)因供應商小島工業(Kojima Industries)遭駭客入侵,日本境內多家工廠一度停擺,震動全國產業鏈。
近期飲料巨頭朝日集團(Asahi)遭勒索軟體攻擊,訂單系統癱瘓兩個月;辦公用品零售商Askul遭遇網攻,導致約74萬名客戶與員工資料外洩。
面對風險擴大,多家大型日企已強化對供應商的資安要求。例如,記憶體晶片大廠鎧俠(Kioxia)已對約三千家合作企業開展資安審查,並表示重新評估高風險合作方的合約;日本電氣公司(NEC)則依據美國國家標準與技術研究院(NIST)標準,要求供應商提升防護措施。
然而,中小企業普遍反映資安投入成本過高,包括資料保護、系統更新與人力維運等,均非其財力所及。為此,經產省與公平會將要求主導採購的大企業承擔供應商部分資安成本,包括人力、管理與系統升級等間接費用。
五級資安標準 2027年實施
為使採購需求更為透明,日本政府今年4月推出五級資安防護標準,協助大企業向供應商明確提出資安要求。例如,3級為所有供應鏈企業必須達到的最低安全水準;5級則依據國際標準,採用風險導向管理並落實最佳實務,屬於最高級別。
日本政府預計在2026年3月底前完成標準細節,並最早於2027年3月底全面實施。自2027財年起,政府還將為中小企業取得認證提供專家技術支援。◇
