サプライチェーンを安全に運用するためには、サプライチェーン全体で足並みをそろえたリスク管理が必要です。一箇所でもセキュリティの脆弱なところがあれば、そこからサプライチェーン全体にリスクが広がってしまうからです。そこで本記事では、情報セキュリティを中心に、サプライチェーンリスクマネージメントの重要性について解説します。
サプライチェーンマネージメントとは?
「サプライチェーンマネージメント(Supply Chain Management:SCM)」とは、原材料の調達から始まり、生産・出荷を経てエンドユーザーに製品・サービスが届くまでの、すべてのモノ・お金・情報の流れを統合的に管理する方法を指します。SCMを実施することで、企業は余剰在庫などの余分なコストを削減し、製品をより早く、より確実に消費者へ届けることが可能です。
サプライチェーンマネージメントにおけるリスク
近年、多くの企業は競争力を確保するため国外にも生産拠点を置くなど、サプライチェーンの拡大を進めています。しかし、サプライチェーンの拡大と同時に、国家間の緊張や自然災害などによって物流が寸断されるリスクも高まることは見過ごせません。
さらに、情報処理推進機構(IPA)が発行する『情報セキュリティ10大脅威 2021』によると、組織の脅威において「サプライチェーンの弱点を悪用した攻撃」が第4位にランクインしており、サイバーセキュリティの観点からもSCMを考える必要性が高まっています。そこで以下では、とりわけサイバーセキュリティの観点から、SCMにおけるリスクとしてどういった種類のものが存在するかを見ていきましょう。
内部不正によるリスク
SCMにおいて警戒すべきリスクの1つに、内部不正の発生が挙げられます。サプライチェーンが拡大することによって、自社の情報やシステムに触れる企業・関係者も自然と増えていきます。そして、そうした関係者の中にはもしかしたら、内部不正に手を染めてしまう者もいるかもしれません。
実際、通信教育で有名なA社は、システムの保守管理を再委託された企業の従業員によって、膨大な数の顧客情報を盗み出されてしまいました。その従業員はシステムの保守点検をしていく中で、外部記録媒体を使って顧客情報を持ち出せることに気づき、名簿業者にその情報を売り飛ばしていたのです。これによって、同社は顧客への謝罪や補償などの対応に追われ、その年の特別損失に260億円もの大金を計上することになりました。
この事例が示すように、サプライチェーンに多くの人が関与すればするほど、内部不正によるリスクは増大し、それに備えた施策も重要になってくるのです。
ヒューマンエラーのリスク
SCMにおいてはシステムの操作ミスなど、ヒューマンエラーのリスクにも備えなければなりません。というのも、情報セキュリティリスクは、当事者に悪意がなくても発生してしまう場合があるからです。
例えばアメリカの大手通信企業B社は、AWS S3(Amazon Simple Storage Service)で管理していた1400万人分もの顧客情報を、サーバー上で公開状態にしてしまいました。この顧客情報を管理していたのはイスラエルの委託会社でしたが、担当者が設定ミスをしたことによって、該当URLを知っている人なら誰でも顧客情報にアクセスできる状態になっていたのです。
B社は問題発覚後、すぐに委託会社に連絡しましたが、その問題に対応がされたのは連絡から10日近く経過したあとだったそうです。AWS S3の操作ミスによる情報流出は、ほかの企業でも相次いで発生しており、いずれも単純な操作ミスによって甚大な被害を発生させてしまっています。
安全なSCMのためには、このようなヒューマンエラーへの予防対策を実施するとともに、問題が起きたときに素早く対応し得るように、企業間での連携を密にしておかなければなりません。
セキュリティリスク
上記の事例はいずれも、悪意の有無の差こそありますが、「サプライチェーン内部での操作」が原因による情報流出です。しかしSCMでは、当然ながら外部からのサイバー攻撃にも注意しなければなりません。ここで問題になってくるのが、近年多くの企業に被害を出している「サプライチェーン攻撃」と言われるサイバー攻撃です。
サプライチェーン攻撃とは、「セキュリティ強度が低い中小企業を踏み台にして、本命のターゲットに攻撃を仕掛けるサイバー攻撃」のことです。例えば、大企業のシステムに侵入するための前段階として、そこの取引先担当者のメールアドレスを最初に乗っ取り、マルウェアを潜ませたなりすましメールを送信するなどが挙げられます。
この事例は、サプライチェーンのセキュリティを考えるときには、1社だけがセキュリティ強度を高めても十分ではないということを教えてくれます。情報セキュリティの強化は、各企業の責任において取り組むべきというのが原則論ではありますが、現実的には資金力や技術力などの問題により、企業ごとにセキュリティ強度にばらつきが出ることは避けられません。
それゆえサプライチェーンを構築する際は、企業が自社の求めるセキュリティ要件を満たしているかどうか確認するとともに、必要に応じてセキュリティの構築に関して積極的に協力することが重要です。
サプライチェーンリスクマネージメントの国内の動き
上記のように、サプライチェーンを安全に運用していくためには、さまざまなリスクに対応していくこと、つまり「サプライチェーンリスクマネージメント(Supply Chain Risk Management:SCRM)」が欠かせません。そこで続いては、国内企業がSCRMのためにどういった取り組みをしているのかを見ていきましょう。
セキュリティ強化への取り組み
まず、サプライチェーン全体のセキュリティを強化するための主な取り組みとしては、Microsoft Azureなどのクラウドシステムの活用が挙げられます。先述したようにSCRMのためには、1社だけがセキュリティを強化しても不十分であり、部門や企業を横断した対応が必要になります。それゆえ近年では、クラウドシステムを活用し、サプライチェーン一体型のSCRMを実施する取り組みが進んでいます。
RPA導入によるリスク低減
ヒューマンエラーを防止するために、AIやRPAを導入する動きも活発化しています。「RPA」とは、コンピューター上で行われる定型作業を自動化するツールです。任せられる作業をコンピューターに自動代行させることで、人為的ミスを減らし、従業員をより生産性のある業務に集中させることが可能になります。
また、AIにSCMの運用を任せることを「自律型サプライチェーン」といいます。自律型サプライチェーンにおいては、AIが人間に代わって受発注などを行います。サプライチェーンの運用において、管理すべき情報は膨大かつ複雑なものですが、AIの情報処理能力にそれを任せることにより、最適な在庫管理なども行えます。
サプライチェーンマネージメントのあるべき姿
SCMの理想的な姿は、製品やサービスをより早く、より正確に、最適なタイミングで届けられるようにすることです。そのためには、サプライチェーンのスムーズな動きを阻害するリスクを周到に排除していくことが欠かせません。
とはいえ、セキュリティの高さと効率性あるいはコストの高さは、基本的にトレードオフの関係にあります。そのため、実際にSCMないしSCRMを実施する際は、安全性と効率性とコストのバランスを最適に保つことが重要となります。
まとめ
サイバーリスクは、サプライチェーンの一部でもセキュリティ強度が弱い箇所があれば、そこから全体に拡大する恐れがあります。そのため、サプライチェーンを安全に運用するには、サプライチェーン全体のリスク管理を行うサプライチェーンリスクマネージメント(SCRM)が重要です。本記事を参考に、ぜひSCRMに取り組んでください。
