Written by 田村 彩乃
ITコンサルタントとして7年間システム提案に携わった後、フリーライターとして独立。IT、マーケティングに関するコラムを中心として、人材、ECなどにまつわる記事をWebをはじめとした多くのメディアで執筆。
目 次
セキュリティは自社と関わる事業者を守るための手段
サプライチェーンリスクはあらゆる企業における課題となっている
サプライチェーンリスクは高い関心を集めている
サプライチェーンリスクが注目されるようになった事件とは
自動車業界ではサイバー攻撃が深刻化
自動車業界におけるサプライチェーンリスクへの対策 自動車業界サイバーセキュリティガイドライン とは?
MOTEXではサプライチェーンリスクへの対策資料を公開中
クラウドIT資産管理ツールで実現する
サイバーセキュリティ ガイドラインへの対応
複数の事業者が密接に関わりあって商品を生産する現代において、サプライチェーンリスクは各企業が向き合わなければならない重要な課題となっています。自動車業界においてもサイバー攻撃によって被害を受けた企業は数多くあり、業界全体に向けたサイバーセキュリティガイドラインが策定されるなど、セキュリティ対策への意識が高まっています。今回は、そんな自動車業界のサプライチェーンリスクについて詳しく解説します。
セキュリティは自社と関わる事業者を守るための手段
近年、セキュリティは多くの企業にとって高い関心を集める課題となっています。悪意あるサイバー攻撃に対してどのように対策を行っていくかは、企業の信頼確保と安定経営のために必要不可欠であるといえるでしょう。情報漏えいやデータ破壊などによって売上低下や事業の継続困難などの被害を受ける可能性があることを考えれば、セキュリティ対策を万全にして未然にトラブルを防止するための投資は重要です。
「セキュリティ対策」と聞くと、悪意ある第三者の攻撃から自社の機密情報を守ることが主な目的だと考える方も多いでしょう。もちろん、自社の情報資産やシステムを外部の攻撃から守ることはセキュリティ対策の重要な目的のひとつではありますが、今やセキュリティは自社を守る目的だけのものではなくなっています。
商品を生産し販売するプロセスには、非常に多くの事業者が関わっています。自動車業界を例に挙げると、1台の自動車を生産するためにはメーカーに部品を提供する取引先があり、さらにその部品の生産は原料を提供する取引先によって成り立っています。また、自動車を生産した後は消費者に対して販売するプロセスが発生することから、生産後にも店舗をはじめとした多くの事業者との関わりが生じることになるのです。
このような原料を調達し、部品を製造、商品を生産して販売するまでの一連の流れを「サプライチェーン」と呼び、1つの商品が消費者のもとへ届くまでには多くの事業者が介在します。つまり、これらサプライチェーンのうちどこか1社がサイバー攻撃によって情報漏洩などの被害に遭うと、関連する他の事業者の機密情報までもが流出してしまう恐れがあるのです。
現代においては複数の事業者が商品の生産・販売に密接に関わっているからこそ、セキュリティ対策は「自社を守る手段」だけではなく、「自社と関わる事業者を守るための手段」でもあるといえるでしょう。
サプライチェーンリスクはあらゆる企業における課題となっている
サプライチェーンリスクとは、サプライチェーンへのセキュリティ攻撃などが原因で関連するすべての業務がストップしてしまい、計画していた供給が難しくなる(需要を満たせなくなる)リスクのことです。
ビジネスにおいて目標とする売上を確保するためには、自社が抱える商材を適切なタイミングで適切な数量だけ製造し、計画に沿って消費者に販売する必要があります。しかし、サプライチェーン攻撃の被害によって需要を満たすことができなくなれば、売上確保は困難になってしまうでしょう。
さらに、被害を受けた原因によっては消費者や取引先からの著しい信頼低下を招いてしまう可能性も少なからずあります。サプライチェーンリスクの中でも、サイバーセキュリティに関わるものを「サイバーサプライチェーンリスク」と呼んで区別することがありますが、サイバーサプライチェーンリスクには機密情報の漏洩など被害が「企業」だけで収まらないものも数多くあるからです。
サプライチェーンリスクはどのような業種・業態であっても少なからず抱えているものであり、経営課題として常に付きまといます。サプライチェーンリスクをいかに軽減して安全に供給し続けられる体制を整えられるかが、企業の安定経営と信頼性の確保につながります。中小企業から大企業までサプライチェーンリスクによる被害に見舞われる可能性は等しく存在するため、どのような企業であっても自社のサプライチェーンリスクを認識し、適切な対策を講じる必要があります。
サプライチェーンリスクは高い関心を集めている
サプライチェーンリスクは、近年非常に高い関心を集めている話題のひとつです。IPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威 2021」によると、組織にとっての脅威の第4位に「サプライチェーンの弱点を悪用した攻撃」がランクインしています。
このような攻撃では、セキュリティ対策が充実している大手企業などを直接的に攻撃の対象とするのではなく、セキュリティ対策が不十分な中小企業へサプライチェーン攻撃を行う手口が用いられます。これによって、間接的に本来の標的である大手企業の機密情報を盗み取ったり、サプライチェーンのセキュリティの脆弱性を抜け道として大手企業のネットワークに入り込みデータ破壊を行ったりすることが可能になります。
また、サイバー攻撃の観点でいえば第1位に「ランサムウェアによる被害」、第8位に「インターネット上のサービスへの不正ログイン」がランクインしており、総じてセキュリティの脆弱性を突いて攻撃される脅威についての関心が高いといえるでしょう。
「サプライチェーンの弱点を悪用した攻撃」は2019年から3年連続で上位にランクインしており、サプライチェーンリスクという言葉が企業の経営層の間で広く認知されるようになった今でも、関心の高い話題であり続けています。
サプライチェーンリスクが注目されるようになった事件とは
サプライチェーンリスクが注目されるようになったのは、2019年12月に神奈川県で起こったHDD横領転売事件がきっかけであるといわれています。
神奈川県庁のシステムに使われていたHDD(ハードディスクドライブ:外部記憶装置の一種)が外部に持ち出されて転売されており、そのHDDのデータが復元できる状態にあったことから情報漏洩の観点で非常に関心が高まった事件です。
転売されたHDDを破棄した神奈川県庁は、あらかじめ定められていた「マニフェスト制度」と呼ばれる産業廃棄物の処理手順に従っていました。しかし、廃棄処理を担当する委託業者の社員が本来破壊しなければならないHDDのうち18台を不正にネットオークションに出品し、落札者がデータ復元を試みたところ機密情報にあたる行政文書のデータが見つかり、事件が明るみに出ることとなりました。
転売されたHDDの中には住民の個人情報が判別できる内容も混ざっていたとされており、このことから企業間だけでなく一般消費者にとっても関心の高いニュースになりました。
本件の場合、情報が流出した神奈川県庁は適切な処理手順に則って廃棄を行っており、サプライチェーンである廃棄業者が不正を働いたことで結果的に神奈川県庁の甚大な信頼低下を引き起こしてしまいました。まさしくサプライチェーンリスクが招いた事件であるといえます。
自動車業界ではサイバー攻撃が深刻化
日本を代表する業種である自動車業界においても、過去にはサイバー攻撃によってデータ流出や活動制限といった被害に遭う事例が多発しています。ここでは、代表的な3つの事例をご紹介します。
国内大手自動車メーカーが被害に遭ったランサムウェア「EKANS」
2020年6月に国内自動車メーカーがサイバー攻撃によって通常業務を進行できなくなる被害に見舞われました。6月8日午前から業務システムやファイルサーバー、メールサーバーへの接続ができなくなる現象が発生しました。
後に原因を究明したところ、外部からのランサムウェア(不正プログラムの一種で、強制的にアクセス制限を行い解除のために身代金を要求する手口)を用いたサイバー攻撃に由来する障害だったことが判明しました。サイバー攻撃が大企業に大きな被害をもたらす可能性があるという事実を多くの人に認識させた一件です。
被害に遭ったランサムウェアは「EKANS」という種類であり、後述する「MAZE」のようにデータを盗み取る機能はありませんが、製造業に特化してシステム破壊やデータの暗号化を行うのが特徴です。
このサイバー攻撃の被害は広範囲にわたり、日本国内だけでなく北米、イタリア、イギリス、トルコといった海外拠点の工場も操業停止に追い込まれています。また、カスタマーサポートや金融関連サービスにも影響を及ぼしており、被害がいかに甚大であったのかが見て取れます。
自動車部品製造メーカーが被害に遭ったランサムウェア「MAZE」
2020年7月に自動車部品製造メーカーにおいて、セキュリティに関する問題が生じたことを検知して、サイバー攻撃による情報漏洩が発生しました。
前述の国内自動車メーカーと同様にランサムウェアによるシステム障害であり、実行グループから「身代金の支払いを拒否すれば機密情報を公開する」と脅迫を受けるなどの被害があったと発表されています。
同社が被害に遭ったランサムウェアは「MAZE」という種類であるといわれており、第三者のネットワーク上に忍び込んで情報を暗号化しアクセス不可にするだけでなく、データを盗み取る機能があるために盗み取った情報を盾に身代金を要求されるケースが多く見られます。
DDoS攻撃とランサムウェアの被害に遭った国内自動車メーカー
2016年と2017年の2回にわたり国内自動車メーカーがサイバー攻撃の被害に見舞われています。2016年には「DDoS攻撃」と呼ばれるサイバー攻撃を受けてWebサイトが高負荷となり、一時的に公開を停止して復旧まで数日間公開停止の状態が続くことになりました。2017年にはランサムウェアによる世界的な大規模サイバー攻撃に国外の生産工場が巻き込まれ、一時的に工場の稼働を停止させています。
さらに、同社と資本提携している関連会社もこの被害で複数拠点の生産を停止するなど、世界の広範囲で被害が見られたサイバー攻撃だったといえるでしょう。
ランサムウェアによる攻撃は電子メールを経由して行われており、悪質なプログラムが添付された電子メールを開封するとコンピューター内のデータが暗号化されて使用不能になってしまうという被害が確認されています。
このサイバー攻撃では、暗号化を解除する見返りとしてプログラムに感染したコンピューター1台につき300ドルの身代金を仮想通貨のビットコインで支払うように要求されました。
自動車業界におけるサプライチェーンリスクへの対策
自動車業界サイバーセキュリティガイドライン とは?
自動車業界では、度重なるサイバー攻撃によるサプライチェーンリスクへの対策として、JAMA(一般社団法人日本自動車工業会)とJAPIA(弊会・サイバーセキュリティ部会)が共同で2020年3月に「自動車業界サイバーセキュリティガイドライン」を策定・公開しています。
公開にあたって、「安心・安全で豊かなモビリティ社会と自動車産業界の持続可能な発展を実現するためには、業界を取り巻くサイバーセキュリティリスクを正確に理解しながら業界全体でサイバーセキュリティリスクに適切な対処を行うことが必要不可欠」という声明を出しており、自動車メーカーやサプライチェーン各社がサイバーセキュリティに対して適切な対応を行う必要があるとして当ガイドラインを策定しました。
サイバーセキュリティガイドラインを策定することによって、サイバーサプライチェーンリスクに対する自動車業界全体のセキュリティ対策についてレベルアップをはかり、対策レベルを効果的に点検できるようにすることが主な目的です。
サイバーセキュリティガイドラインの対象となるのは自動車業界に関わる全ての会社であり、中でもセキュリティ関連部署に所属する人々を想定読者としています。最高情報セキュリティ責任者やリスク管理部門、監査部門、セキュリティ対応部門、情報システム開発部門、データマネジメント部門をはじめとして、サプライチェーンの管理責任を負う購買や調達部門にもガイドラインに目を通してもらうことによって、セキュリティ意識を高める役割を担っています。
ガイドラインの項目は全50項目にわたって策定されており、達成条件や達成基準、他社事例などを併記することによって活用しやすい内容になっています。
MOTEXではサプライチェーンリスクへの対策資料を公開中
サイバーセキュリティガイドラインの公開を受けて、MOTEXでは PC・スマホをクラウドで一元管理できるLANSCOPE クラウド版を活用することで、サプライチェーンリスクにどのような対策ができるのかを資料で公開しています。自動車業界のサプライチェーンリスクへ対応する必要があるものの、どのシステムを使えばセキュリティ対策を行えるのかが分からないとお悩みの方は、ぜひ一度こちらの資料をご参照ください。
累計20,000社以上に選ばれた豊富な実績を持つLANSCOPEシリーズが、貴社のサプライチェーンリスク対策を丁寧にサポートする方法をお伝えいたします。
クラウドIT資産管理ツールで実現する
サイバーセキュリティ ガイドラインへの対応
関連する記事
