セキュリティとガバナンス

サプライチェーンリスクとは?重要性と対策をわかりやすく解説

災害や感染症の発生、巧妙なサイバー攻撃など、企業を脅かすリスクは様々です。本記事では企業の担当者の方向けに、サプライチェーンリスクの概要をはじめ、そのリスク対策に役立つ手法やITサービスについて解説します。サプライチェーンリスク対策のポイントと、リスクマネジメントを強化するためのサービスや製品を知ることができます。

サプライチェーンリスクとは?|重要性と対策をわかりやすく解説

クラウド時代に求められる情報セキュリティとは? 〜Microsoft Defender for Cloudも解説〜

サプライチェーンリスクのポイントを2つ解説

まずは、「サプライチェーンリスクとは何か」を適切に理解する上で重要な2つのポイントを解説します。

ポイント①:サプライチェーンリスクとは一言で「他社が自社に影響を及ぼす可能性」のこと

サプライチェーンリスクとは、自社製品の流通に関係する一部の他事業者で業務が滞ることにより、自社の供給の流れが止まってしまうリスクのことです。現在のビジネスにおいては、原料や部品の調達から、製品の製造、輸送、販売に至るまで、エンドユーザーの手に商品が渡るまでに多数の事業者(サプライヤー)が関与します。サプライチェーンとは一般に、この多数の事業者が関与する一連のプロセスのことを意味します。

従来、「サプライチェーンリスク」とは、この事業者間におけるモノの流れが、何らかのトラブルで寸断されてしまうことを指していました。例えば、自然災害の発生で物流がストップしたり、一部の工場が閉鎖したりして、サプライチェーン全体の動きが連鎖的に停滞してしまうことがこれに当たります。

しかし近年、モノの流れの寸断以外に、「情報セキュリティとしてのサプライチェーンリスク」が企業を脅かしています。最近では、サプライチェーンを効率的に管理運用するためにICTを活用するのが一般的になっています。業務上、システムに組織外の事業者がアクセスする場合もあるでしょう。しかし、そこが落とし穴になる可能性があります。

一般に中小の事業者は大手メーカーほど強固なセキュリティを敷いていないことが多いため、サイバー犯罪者によって本命企業への攻撃の踏み台として利用されてしまう場合があるのです。また、システム保守を委託した会社の担当者が、知りえたシステムの情報を利用して内部不正を行い。大量の顧客情報を流出させた事例もあります。たとえ問題の発端が自社になくても、こうした事件が起きてしまえば経済的被害や社会的信用の低下は免れません。

ポイント②:サプライチェーンリスクは主に3種類ある

サプライチェーンで生じうるリスクは主に3種類あります。すなわち、「内部不正」、「操作ミス」、「不正アクセス」の3つです。

まず「内部不正」の内容についてご説明します。システム保守事業者の内部不正の事例は上記でも触れましたが、具体的には、システムの保守管理を委託された企業のエンジニアが約20回にもわたってスマホに顧客情報を保存して持ち出し、名簿業者に売却したというものでした。この犯人が不正入手した顧客情報は最大3,504万件にも及ぶとされ、内部不正の被害を受けた企業は顧客への補償対応のために約260億円の特別損失を計上し、企業イメージの著しい低下をもたらしました。この事件は、いくら外部に対して強固なセキュリティを敷いても、内部統制が脆弱であれば大きなリスクが生じることを物語っています。

次に操作ミスの具体例として、顧客情報の管理を依頼された委託業者が、操作ミスによって誰もがアクセスできる場所に顧客情報を公開してしまった事件が挙げられます。その他、顧客に一斉配信するメールの宛先のメールアドレスをBCCではなくTO欄に入れて送信してしまうミスはどの企業でも発生する可能性があります。こうした操作ミスはチェック体制さえしっかりしていれば防げるものであるため、企業の管理体制に対して強い疑念を持たれかねません。

また、サプライチェーンにおいて警戒すべき不正アクセスは、一般に「サプライチェーン攻撃」あるいは「サードパーティー攻撃」と呼ばれるものです。サイバー犯罪者は、セキュリティの薄いサプライヤーをまず攻撃し、それを踏み台にして本命企業のネットワークへの侵入を試みる場合があります。

例えば、サプライヤーが貴社のネットワークへのアクセス権限を持っている場合、そのサプライヤーのアカウントが乗っ取られれば、サイバー犯罪者は貴社のシステムに侵入するための直接的な方法を得たことになってしまいます。また、サプライヤーのメールアカウントを奪い、何気ない取引メールを装ってマルウェアを送り付けてくる場合もあるでしょう。近年世間を騒がせているランサムウェアなどはその代表例です。

これらのリスクに対処するためには、自社だけではなく、サプライチェーン全体のセキュリティを高める取り組み「サプライチェーンリスクマネジメント」が重要になります。

サプライチェーンリスクマネジメント(対策)の重要性が近年増している

サプライチェーンリスク対策の必要性はコロナ禍によって改めて強く露呈されました。多くの企業はこれまで中国をはじめとする東アジア地域に生産拠点を一極集中させてきました。その一極集中のリスクに内心気づいていながらも、新型コロナウイルスのパンデミックが発生するまで具体的な対策を実施することはありませんでした。パンデミックにより工場の稼働停止や物流の寸断が引き起こされ、結果として多くの企業が大幅な売上の低下や納入遅延、発売時期延期などに見舞われました。

新型コロナウイルスによるサプライチェーンリスクは主にモノの流れの面でのリスクですが、根本的な問題としてはサイバー面でのリスクも同様です。インシデントを予防し、また、万が一インシデントが発生した際に迅速に対応するためには、あらかじめリスク評価を行い、BCP対策を立案し、リスク対応力を高めておく必要があります。

サプライチェーンリスクマネジメントのチェック手順・ポイント

続いては、サプライチェーンリスクマネジメントを実施する際のチェック手順や課題について解説していきます。

チェック項目7つ

サプライチェーンのリスクを確認するための項目としては主に以下の7つが挙げられます。

① 組織的なセキュリティ体制が構築されているか
特定の人員に依存しない組織的なセキュリティ体制の構築が重要です。セキュリティを委託する際には、指揮系統の確認を明確にし、契約書には守秘義務の遵守やインシデント発生時の負担割合なども明記しましょう。

② 資産の分類及び管理ができているか
サプライチェーンに関わる資産の分類や優先順位の管理、リスク評価の実施ができているかチェックしましょう。自社で管理する範囲と委託する範囲を明確に区分することも大切です。

③ 人的セキュリティは万全か
内部不正や操作ミスなどを防ぐため、人的セキュリティも万全にしなければなりません。例えば不正を防ぐために複数担当者による相互監視をマニュアルに追加したり、研修などを通して社員に情報リテラシー教育を定期的に実施したりするのも効果的です。

④ 物理セキュリティ及び環境セキュリティは整備されているか
システム操作卓などの重要機器や重要施設への監視カメラの設置や、警備室の運用など、物理的セキュリティもリスク管理には欠かせません。

⑤ 運用管理のチェックはできているか
諸々の作業内容の記録は取っているか、システムの運用手順やデータ・ログの保管の仕方は標準化しているかなど、運用管理方法の徹底的なチェック体制を構築しましょう

⑥ アクセス制御は安全か
システムやデータベースへのアクセスは、必要なときに必要な人が必要な場所にだけアクセスできるように重層的に制御するのが理想的です。

⑦ システム開発及び保守が安全にできているか
システムの開発や保守業務に必要な人員は確保できているか、安全な開発環境が整備されているかなど、セキュリティレビューやテストも実施して確認しましょう。

サプライチェーンリスクマネジメントは、複雑で対策実行が大変

ここまでサプライチェーンリスクマネジメントの重要性や基本的なポイントについて解説してきましたが、「言うは易く行うは難し」です。実際に対策を実行するのは簡単なことではありません。というのも、サプライチェーンには通例、自社以外の外部企業も介在するため、何から何まで自社に合わせてセキュリティを標準化することが難しいからです。それゆえ、サプライチェーンリスクマネジメントにはどうしても強度が弱い部分が生まれてしまい、蟻の一穴からインシデントが発生する可能性は否めません。

また、大掛かりなリスク対策を実施するには、構築済みのサプライチェーンの仕組みを再構成する必要性に迫られることもあります。たとえ、セキュリティに多少の不安があるとしても、現状のサプライチェーン構造は様々な理由で現状の形に整備され、効率化されている場合が多いからです。それゆえ、シビアな競争に晒されている企業が、既に効率化されているサプライチェーンをリスク対策のために組み替えることには困難が伴います。

とはいえ、長期の視点から見れば、サプライチェーンに潜むリスクを防ぐことで、コロナ禍のような不測の事態により企業に大きな損害を被ることを避けられます。そのためには、サプライヤーを説得し、サプライチェーンリスクマネジメントの抜本的見直しを検討する必要があります。

まとめ

サプライチェーンリスクには、物流や工場の稼働の停止に伴うモノの供給の寸断リスクと共に、サプライヤーのセキュリティの脆弱性を狙った「サプライチェーン攻撃」など情報セキュリティ面でのリスクが存在します。こうしたリスクに備えるためには、自社のみならずサプライチェーン全体において組織的なセキュリティ体制を構築し、厳格なガバナンスの下でサプライチェーンリスクマネジメントを実施してく必要があります。サプライチェーンリスク対策に当たっては、経験が豊富なベンダーからアドバイスを受けることや、導入サポートを依頼するのがおすすめです。

  • fb-button
  • line-button
  • linkedin-button
RELATED SITES

関連サイト

CONTACT

サイト掲載の
お問い合わせ

TOP