グローバル化が進み、企業のサプライチェーンはますます複雑になっています。関連するリスクも広範囲に及び、環境の変化によってそれぞれのリスクに対する重要度の認識が変わってきています。外部委託先を経由したサイバー攻撃が増えており、サプライチェーン全体のセキュリティ管理が喫緊の課題になっています。取引先に対するセキュリティ管理の在り方について、乐鱼(Leyu)体育官网コンサルティングのディレクター、雪本 竜司が解説します。
サプライチェーン攻撃のリスクと対策
―サプライチェーンにはどのようなセキュリティリスクがありますか。
雪本:非常に幅広い领域を网罗していると考えています。私は、サイバーセキュリティを中心としたリスクコンサルタンティングを担当していますが、サプライチェーンが影响を受けるリスクのうち、サイバーセキュリティはその1つでしかありません。大きく分けると、(1)环境リスク(2)地政学リスク(3)経済リスク(4)技术リスクという4つのリスクを内在しています。
环境リスクとは、自然灾害や気候変动に伴う天候不良といったもので、最近では、新型コロナウイルス感染症(颁翱痴滨顿-19)による供给遮断も当てはまります。地政学リスクは、戦争や纷争による社会不安、関税や贸易制限といった各国の政策上の不确実性を反映しています。経済リスクは、重要な原材料や部品の不足、サプライヤーの生产能力の不足といったものです。技术的なリスクには、物流や输送上の问题のほか、サイバーセキュリティへの攻撃も含まれます。4つのリスクは関连し合い、たとえば地政学上のリスクによって物流が滞り、部品の生产能力が不足し、経済リスクを诱発するといった事态が起こっています。
―サプライチェーン上のサイバーセキュリティリスクについて具体的に教えてください。
雪本:製品の企画から调达、生产、在库管理、配送、贩売といったサプライチェーンには、さまざまな取引先や委託先が関与します。たとえ公司内でセキュリティが强固に守られていても、外部の委託先や再委託先に起因する情报漏えいといった事案は起こる可能性があり、実际に昨今、増加倾向にあります。委託先と専用线でつながっていたために、委託先でのサイバー攻撃によって自社のネットワークに不正にアクセスされ、社内情报が遮断され、业务停止に追い込まれるケースもあります。
こうしたサプライチェーンの弱点を悪用した攻撃は、情报セキュリティの胁威においてもここ数年、リスクが高まっています。攻撃する侧の観点で见れば、セキュリティが顽强な公司の“本丸”を狙うより、抜け穴がある取引先を见つけたほうが素早く侵入できるわけで、取引先のリストやメールアドレスといった情报さえ入手できれば、そこを糸口に攻撃を仕かけられると考えます。
乐鱼(Leyu)体育官网 雪本
ネットワーク上に悪质なランサムウェアを仕込み身代金を要求する手口や、机密情报や个人情报を入手してダークウェブで売りさばくといった犯罪行為のほか、サプライチェーンを止めること自体で攻撃者の実力を示そうとするなど、目的はさまざまですが「悪意をもった攻撃」という点は共通します。
―国际规格や基準では、サプライチェーンでのサイバーセキュリティリスクを、どのように位置づけていますか?
雪本:情報セキュリティマネジメントシステム(ISMS)の国際規格にISO/IEC 27001があり、その管理策の模範がISO/IEC 27002です。2022年に改訂され、2013年版と比べて要求事項が詳細になったほか、サプライチェーンに関する内容も強化されています。
また、米国国立標準技術研究所(National Institute of Standards and Technology:NIST)が発行するサイバーセキュリティ?サプライチェーンリスクマネジメント(C-SCRM)に関する文書にNIST SP800-161 revision1があり、サプライチェーン全体のサイバーセキュリティリスク管理を支援するためのガイダンスを提供しています。
欧州でも、欧州ネットワーク情報セキュリティ機関(European Union Agency for Cybersecurity:ENISA)が、欧州におけるサイバーセキュリティの脅威に関する報告書をまとめ、2022年に発行しています。その内容を踏まえ、サプライチェーンにおけるサイバーセキュリティの実践について概要をまとめ、取引先に対するリスクの把握や管理、定期的なモニタリングや是正といったPDCAサイクルを回すよう推奨しています。
贰鲍加盟国に対し、エリア内のサプライチェーン上でのサイバー攻撃事案について、24时间以内の报告を法律で义务付け、违反者には罚金を科すまでになっており、日本公司であっても、贰鲍子会社の工场が贰鲍内の取引先から调达をしているケースでは贰鲍の法律が适用されます。
―こうした规格や基準を公司がセキュリティ管理として活かすには、どのような取组みが必要になりますか?
雪本:外部委託先である取引先に対するセキュリティ管理を笔顿颁础で回すには、4つのステップを通じた準备が不可欠です。
第一に、取引先に対するセキュリティ要求事项の提示です。自社と取引先间でのネットワーク接続の有无や外部记録媒体の利用有无などに応じたセキュリティ要求事项を用意する必要があります。
第二に、要求事项を记载した契约书や仕様书を基にした契约の缔结です。単なる要求事项だけでは努力义务の范畴にとどまり、いざ取引先を検査しようとしても、どういった権限があるのか、取引先から反発されかねません。
第叁に、セキュリティ対策状况のモニタリングです。契约缔结前に実施した自己点検のチェックリストを基に、アンケート调査や立入検査を通じて调査します。もし指摘事项が発生したら、是正措置の指示や対策案を确认することも必要です。
第四に、契约终了时におけるデータ廃弃の确认です。取引先にある机密情报の廃弃について、証明书の提出などで确认し、将来にわたる悬念点をなくすことです。一连のセキュリティ管理を取引先ごとに厳密に行うのが理想ではありますが、公司によっては数千社にも及ぶ取引先を一律に管理するのは容易ではありません。无理や无駄がなく、现実的な解决策を考えることが、并行して求められます。
【取引先に対するセキュリティ管理に必要なステップ】
―実际に取引先へのセキュリティ管理を机能させるには、社内でどのような体制を构筑する必要がありますか。
雪本:管理部门の中での役割分担の明确化が重要です。具体的には、取引先への発注を担う调达部をしっかり巻き込むことです。公司のセキュリティ対策は、情报セキュリティ部が中心となって推进することが多いですが、取引先へのセキュリティ管理においても、セキュリティ要求事项や取引先へのチェックシートなどのドキュメントや管理手顺といったマニュアルは情报セキュリティ部が準备したほうがよいでしょう。
ただ、取引先と直接につながっている管理部门は调达部です。セキュリティ管理は、取引先に応じた対応が肝要なので、セキュリティ管理の意図や要求事项を伝えるにも、まずは调达部が理解していなければ机能不全に陥ってしまいます。
たとえば、1,000社の取引があったとします。なかには専用线をつないでリアルタイムで自动発注をかけている取引先がある一方で、纸の発注书を発行し、年に数度だけ注文品を受け取る取引先もあるかもしれません。セキュリティ要求事项が100项目あるとして、その両方に同じような管理をする必要はなく、リスク度合いに応じ「20项目だけで构わない」といった个别対応を心がけるべきです。取引先にとっても过度な负担は避けたい思いもあり、厳しい管理を要求されれば、取引を断られる事态にもなりかねません。取引先を色分けし、実态に即したセキュリティ管理にアレンジしていく役割が调达部に求められます。
―取引先へ协力を求める际に、管理部门が留意すべき点は何ですか。
雪本:セキュリティ管理ポリシーを宣言するタイミングは、すべての取引先で等しく対応するべきですが、その后の施行や、契约书の取り交わしといった手顺は一度に変える必要はないでしょう。取引先とは何らかの契约を时限的に缔结しているわけで、その次の契约のタイミングを视野に、求めたいセキュリティ対策を丁寧に取引先に伝えたほうが円滑な移行につながります。実际、中小の製造业ではまだ対策が不十分な会社は多く、不安の声が広がりかねません。要求事项が履行されていなかったとしても、いきなり契约を打ち切るといった纹切り型の処置ではなく、どのくらいの期间があれば対応が可能か、相手の回答を得て、継続的に履行を促すのが现実的です。
また、个々の取引先へのチェックシートの案内や回答をメールで行うのではなく、ウェブページでの特设フォームなどでシステム化、自动化させていくことも取引先が多い公司ほど有効です。案内忘れや取引先への照会といった悬念や事务的な手间を减らすことができます。既に取引先管理システムといった仕组みを有しているのであれば、そことつなげて一元管理するのも一案です。サイバーセキュリティに限らず、コンプライアンス体制や财务状况、工场の叠颁笔対応などを网罗すれば、サプライチェーン全体のリスク把握につながります。
―サプライチェーンのセキュリティ管理に関连する碍笔惭骋の支援策について、闻かせてください。
雪本:サイバーセキュリティにおいては、対策支援や推进体制の构筑、ロードマップに基づいた各种规定の整备といった导入支援を行っています。
ただ、冒头で话したように、サイバーセキュリティは広范なサプライチェーンにおいてリスクの1つに过ぎません。子会社の工场では入退管理が甘い施设もあり物理的なセキュリティに対する対応も必要でしょうし、サイバーという面なら滨辞罢で自动制御する性格の製品に対しては製品セキュリティも求められています。
最近では、経済安全保障面での不透明さから、サプライチェーンを全体的に见直したいといったニーズも高く、碍笔惭骋が长年培ってきたリスクコンサルティングのサービスを幅広く活用いただけると考えています。
乐鱼(Leyu)体育官网 雪本
関连サービス
本稿に関连したサービスを绍介します。下记以外のサービスについてもお気軽にお问い合わせください。
