Written by 岩瀬めぐみ
目 次
サプライチェーンとサプライチェーンリスク
サプライチェーンとは
中小企業にも求められるサプライチェーンリスク対策
サプライチェーンリスクマネジメントの動向
情報セキュリティ10大脅威の上位にランクイン
-狙われる中堅・中小企業
サプライチェーンに対する対応
日本政府が示すガイドライン
日本国内の対応状況
海外の動向
セキュリティ問題事例
内部不正によるセキュリティ問題
不正アクセス
人的ミス
サイバーセキュリティ以外のサプライチェーンリスク
自然災害によるサプライチェーンリスク
コロナ禍の影響
サプライチェーンリスクマネジメントのポイント
重要情報の特定
重要情報への接触における管理と把握
アクセス制御
LANSCOPEクラウド版でSCRMをスムーズに
違反操作時のアラート
ハードウェア資産台帳の自動生成
記憶媒体の接続制御
操作ログ取得
Windowsアップデート管理
まとめ
サイバーセキュリティにおいて、サプライチェーンリスクが大きな脅威となっています。大企業への足掛かりとして、セキュリティが甘い中小企業を狙うサプライチェーン攻撃が増大しているのです。サプライチェーンリスクとはどのようなもので、どういった対策をすればよいのでしょうか。SCRM(サプライチェーンリスクマネジメント)の動向、実際に起きたサプライチェーンにおけるセキュリティ問題事例、対策のポイントなどを見ていきましょう。また、SCRMをサポートしてくれるLANSCOPEのクラウド版についてもご紹介します。
サプライチェーンとサプライチェーンリスク
世界的な半導体不足や物流の停滞など、コロナ禍で多くのサプライチェーンが大混乱に陥りました。アメリカのバイデン政権が本格的な対策に乗り出したこともあいまって、現在サプライチェーンリスクが改めて注目を浴びています。ではサプライチェーンとは、そしてサプライチェーンリスクとはどのようなものなのでしょうか。
サプライチェーンとは
サプライチェーンは、商品・製品・サービスが消費者に届くまでのプロセスにおける「供給の連鎖」のことを指します。原材料や部品の調達、製造・生産、在庫管理、配送、販売といった一連の流れがサプライチェーンです。この連鎖のなかで、商品などは「仕入先→メーカー→物流業者→卸売業者→小売業者→消費者」と流れていき、お金と情報は逆方向に流れていきます。
海外で原材料や部品を調達したり、製造拠点を置いたりするなど、いまや多くの分野で国境を超えたサプライチェーンを構築することが当たり前になりました。多くの地域、企業、人が関わるということは、それだけリスクも生じます。それがサプライチェーンリスクです。
中小企業にも求められるサプライチェーンリスク対策
サプライチェーンリスクでは、よく原材料および製品の供給遅延や供給遮断が取りざたされます。これは、自然災害・今回のコロナ禍のようなパンデミック・事故・政治的問題などによって引き起こされる事業継続に関わるリスクです。
今回はもうひとつの深刻なリスクである、委託先からの情報流出といったサイバーセキュリティに関するサプライチェーンリスクをクローズアップしていきます。
近年は、セキュリティ体制がしっかりした大企業を攻撃する足掛かりとして、セキュリティが比較的緩い中小企業を狙う「サプライチェーン攻撃」が増えてきました。「自社には狙われるような情報なんてない」と油断している企業は恰好の標的といえます。中堅企業や中小企業にも、サプライチェーンリスクに対する対策が必要なのです。
サプライチェーンリスクマネジメントの動向
サプライチェーンの抱えるさまざまなリスクを予測・想定して対策を立て、リスクを管理することをサプライチェーンリスクマネジメント(SCRM)といいます。いま、サイバーセキュリティに関するSCRMで重視されているのが、外部委託先のセキュリティ管理です。
情報セキュリティ10大脅威の上位にランクイン
IPA(情報処理推進機構)は、個人・組織それぞれにおける「情報セキュリティ10大脅威」を毎年公表しています。「サプライチェーンの弱点を悪用した攻撃の高まり」は、2019年に組織における脅威として初ランクインしました。以来、3年連続で4位にランクインしており、発表されたばかりの2022年版ではランクを一つ上げ3位にランクインしています。
IPAは「脆弱と考えられる子会社や委託先を突破口に」されていることを指摘した上で、「サプライチェーン全体でセキュリティ対策を実施すること」が求められていると言及しています。
狙われる中堅・中小企業
サイバー攻撃の標的は、基本的には大企業や政府機関などです。しかし、大企業の多くはサイバーセキュリティ対策がきちんととられていて、容易には侵入できません。そのため、標的である大企業のサプライチェーンの中からセキュリティが甘い企業を探して攻撃するのです。
例えば、マルウェアに感染させて乗っ取った中小企業のPCを足掛かりに、大企業へとサイバー攻撃を仕掛けて情報を抜き取るなどといった方法が考えられます。大企業は自社のみならず、サプライチェーンのセキュリティ管理にも気を配らなくてはならないということです。
裏を返すと、サイバーセキュリティ対策がしっかり取られておらず、リスクマネジメントをしていない中堅・中小企業は、取引先の大企業から見限られてしまう可能性もあります。会社規模に関わらず、SCRMが求められていると言えるでしょう。
サプライチェーンに対する対応
各企業や各国は現状サプライチェーンに対してどんなSCRMを行っているのでしょうか。日本国内と海外の動向を見比べてみたいと思います。
日本政府が示すガイドライン
日本においては、経済産業省が2017年に「サイバーセキュリティ経営ガイドラインver2.0」を公開しました。その中でサプライチェーンセキュリティ対策推進のため、「ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」を指示しています。
具体的には、サイバーセキュリティ対策のPDCAは、系列企業、サプライチェーンのビジネスパートナー、システム管理運用委託先などを含めて運用すること、システム管理などの委託については自組織で対応する部分と委託する部分とを適切に切り分けることを挙げました。
さらに、系列企業やサプライチェーンのビジネスパートナーやシステム管理の委託先等について、「サイバーセキュリティ対策の内容を明確にした上で契約を交わす」「SECURITY ACTION9を実施していることを確認する」といった対応例も例示しています。
SECURITY ACTION9というのは、IPAが中心となって推進しているセキュリティへの取り組みで、中小企業が自らセキュリティ対策への取り組みを宣言する制度です。
日本国内の対応状況
ガイドラインはあるものの、日本企業のSCRM対応は進んでいるとはいえません。IPAが2018年3月に公表した「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書を見ていきましょう。
報告書によると、情報通信業以外の委託元の過半数が、実施すべき情報セキュリティ対策を仕様書などで委託先に明示していません。特に、製造業・卸売・小売業は70%以上の委託元が明記していないと回答しました。加えて委託元の54.5%、委託先の44.7%が、委託契約における情報セキュリティ上の責任範囲(責任分界点)がわからないと回答したのです。
こうした現状を踏まえて、2020年11月には産業界が一体となってサプライチェーンのサイバーセキュリティ対策を推進させるべく、経済産業省がオブザーバーとして参加する「サプライチェーン・サイバー・セキュリティ・コンソーシアム(SC3)が設立されました。今後は日本国内のサプライチェーンリスクが軽減されていくことを期待しましょう。
海外の動向
EUでは、「GDPR(General Data Protection Regulation)」という一般データ保護規則が2018年5月に施行されました。個人情報の扱いにおいて、1995年から適用されてきた「EUデータ保護指令」よりも厳格化されています。違反時の制裁金が高額であることも特徴です。さらに、EUデータ保護指令はあくまで指令・指針であり、EU加盟各国での法制化が必要でした。対して、GDPRはEU加盟国に直接適用されて効力のある法規則です。
対してアメリカでは、NIST(National Institute of Standards and Technology)と呼ばれる国立標準技術研究所がセキュリティ基準を示すガイドライン「NIST SP 800-171」を2017年に提示しました。保全が必要な情報を取り扱うには、14分野109項目あるセキュリティ要件を遵守しなくてはなりません。セキュリティ要件を満たしていない企業は、アメリカ政府機関とは取引できないということになります。
このようにEUやアメリカなどでは、日本よりもSCRM対応が進んでいるのです。
セキュリティ問題事例
サプライチェーンがグローバル化・複雑化している現状では、SCRM対応は必要不可欠になってきています。では、SCRMを怠るとどのような問題が起きてしまうのか、問題が起きた要因別に実際の事例をいくつか見ていきましょう。
内部不正によるセキュリティ問題
2019年11月、サプライチェーンリスクが大きく注目されるきっかけとなる事件が起きました。ある自治体で使用していたHDDが、データ消去と廃棄を委託された企業の社員によって盗み出されて転売されてしまったのです。このHDDに記録されたデータには、個人情報を含む自治体の内部情報が含まれていました。オークションサイトを通じてこのHDDを購入した人物より、捜査機関に連絡がいったことで事件が発覚します。問題の社員は、その自治体のHDD以外にもさまざまな組織の情報機器を転売していました。
不正アクセス
2017年、サービス業を営む委託元企業が、顧客の個人情報を数千件分漏えいするという問題が起こりました。こちらは決済代行会社よりクレジットカード情報が漏えいしている可能性を指摘されたことで問題が発覚しています。
この企業のECサイトを管理していた委託先企業が、使用していたソフトウェアの脆弱性をつかれて外部からの不正アクセスを受けてしまったのです。ECサイトでのクレジットカードの利用停止、不正アクセスの監視強化、クレジットカード会社に対する不正利用モニタリングの実施を要請することで、問題は解決へと導かれました。その後、システムの改善やECサイトの脆弱性対策などを行って、再発防止に努めています。
人的ミス
2015年、教育機関である委託元が、アクセス権限を付与すべきではない人も個人情報を扱うシステムを利用できる状態になっていることに気が付きました。委託元管理者への確認を怠った委託先のSEが、自分の判断でリリースを行っていたのです。
アクセス権限設定を修正することで問題は解決しましたが、これにより顧客の個人情報が漏えいしてしまいました。再発防止のため、アクセス権限付与においてミスが起きた場合でも閲覧権限が限定されるように機能を修正したり、委託先の担当SEが委託元管理者へタスク報告をしたりするように見直しが行われたようです。
サイバーセキュリティ以外のサプライチェーンリスク
サプライチェーンリスクは、サイバーセキュリティに関することばかりではありません。原材料や製品の供給が滞ることでBCP(事業継続計画)に影響が出るリスクや、原材料や部品の大幅な価格変動といったリスクも伴います。
自然災害によるサプライチェーンリスク
大きな自然災害は、広い地域に影響が出るサプライチェーンリスク要因です。2011年3月11日に発生した東日本大震災は、地震のみならず、津波被害や原子力発電所の事故が複合的に起きたことで、広い地域に甚大なる被害をもたらしました。
部品メーカーや製造業など多階層にわたるサプライヤーの生産・製造拠点が被災し、物流が断絶されたことで、多くのサプライチェーンが寸断されたのです。このことは日本のみならず世界中に影響を与えました。
日本は地震をはじめ、台風や火山活動など自然災害の多い国です。東日本大震災は、多くの企業にとって生産拠点を特定の地域に集中させるリスクと、自然災害の発生などを念頭に置きながらサプライチェーンを保護することの重要性を強く意識するきっかけともなりました。
コロナ禍の影響
世界的なパンデミックとなったコロナ禍は、今もなおサプライチェーンの混乱を引き起こしています。ロックダウンによって工場が閉鎖されるなどしたことで、原材料・部品の調達や生産・製造が滞ってしまったことが要因の1つです。
さらに、マスクや医療用ゴム手袋などの需要が急増したものや、レストランや学校給食などで消費されるはずだった生鮮食料品など需要が大きく減少したものが多数発生し、需要と供給のバランスが崩れたことも混乱に拍車をかけました。
このような急激な変化にも対応できるよう、サプライチェーンには強靭さと柔軟な対応が求められます。
サプライチェーンリスクマネジメントのポイント
サプライチェーンリスクをできる限り軽減するためには、どのようなSCRMを行えばよいのでしょうか。リスクマネジメントのポイントをいくつかご紹介します。
重要情報の特定
SCRMの一番の基本が「重要情報の特定」です。顧客リスト、社員情報、事業計画、研究開発資料など、何が重要情報なのかを特定します。このときに自社のみならず、サプライチェーン全体を念頭に置きながら情報の格付けをすることが大切です。委託先と委託元とで情報を共有して、どの情報が重要なのか共通の認識を持てるようにしましょう。
重要情報への接触における管理と把握
守るべき情報を特定できたら、次は守り方を決めなくてはなりません。特に、重要情報への接触を管理して常に状況を把握しておくことはSCRMの大きなポイントです。
重要情報にどのように接触するか、接触をするアクセス権限は誰に付与するか、どこまでの接触を許可するのか、セキュリティの責任範囲はそれぞれどこまでか、といったことをサプライチェーン全体で取り決めをしておきます。
アクセス制御
重要情報に触れる人数・機会・手段が多いほど、サプライチェーンリスクは増大します。重要情報への接近の制御、持ち出しの禁止、段階的な権限付与といったアクセス制御を徹底することが大切です。加えて、漏えいが起きた時などにすぐ気付けるような環境づくりをしておくことも心がけましょう。
LANSCOPE クラウド版でSCRMをスムーズに
SCRMを行うにあたって、セキュリティに対する専門性、継続管理、評価、作業負荷などに不安を抱いているという担当者は少なくありません。LANSCOPE クラウド版には、SCRMをサポートする便利な機能がいくつもありますのでご紹介します。
違反操作時のアラート
規定やポリシーに違反した操作をしたデバイスに、アラートをポップアップ通知する機能です。作業者の違反操作を抑止するだけでなく、どういった操作がポリシー違反なのかという周知にもつながります。同時に管理者にも通知が飛ぶため、違反操作があったことを管理者が迅速に把握することが可能です。違反操作に的確にアラートを通知することで、悪質な行為のみならず意図しないミスも防ぐことができます。
さらに、アラートではなく、違反操作を禁止してデバイスに通知を行うことも可能です。重大な違反操作をあらかじめ禁止する設定にしておくことは、セキュリティの向上につながります。
ハードウェア資産台帳の自動生成
デバイスのハードウェア情報を一覧にしておくと、情報の把握、資産の棚卸、メンテナンス時などに便利です。LANSCOPEであれば、PC・スマホ・タブレットなど利用しているデバイスのOSが混在している環境でも、最新のデバイス状況一覧を自動生成してくれます。OSやデバイスの絞り込みも簡単に行うことができ、デバイスの詳細情報の確認も1クリックで行うことが可能です。
記憶媒体の接続制御
USBメモリなどの記録メディアの利用を制限することができます。営業部は読み取りのみ許可、企画開発部は利用許可といったように、グループごとに「許可」「禁止」「読み取り専用」から制御レベルを選択できます。「禁止」「読み取り専用」設定にしたグループに、この記録メディアならば利用許可、この記録メディアは読み取りも禁止といった特定記録メディアごとの設定をすることもできます。また、グループとは異なる設定をデバイス単位で設定することや、一時的に「許可」「読み取り専用」の設定に変えることもできるため、状況に合わせて設定が可能です。記録媒体の接続を制御することで、情報漏えいのリスクを軽減します。
操作ログ取得
操作ログが取得できるため、インシデント発生時に原因やインシデントを起こしたデバイスの特定が容易です。ログ種別・期間・キーワードで条件検索もできます。加えて、操作ログから「長時間働きすぎていないか」「業務をしっかりしているか」といった切り口の情報や、デバイスの活用状況などをレポート化できるため、課題のあるデバイスの特定も可能です。
Windowsアップデート管理
Windowsアップデート管理も容易にできます。まず、機能更新・品質更新プログラムの適用状況を、視認性の良いレポート形式で把握。1クリックで未適用デバイスを確認して最新のプログラムを適用できます。社内ネットワークに接続されないテレワークをしている従業員が利用するデバイスにも、インターネット経由でLANSCOPEから配信可能です。
まとめ
常にサイバー攻撃の脅威にさらされている大企業はもちろん、サプライチェーンを担う中堅・中小企業もサプライチェーン攻撃の標的になり得ます。サプライチェーンが複雑化していくにつれて、SCRMを行っているかどうかは新規取引を獲得する上で重要なファクターのひとつになっていくはずです。この機会にぜひ、LANSCOPEクラウド版の導入をご検討されてはいかがでしょうか。
LANSCOPEクラウド版についての詳細はこちら
関連する記事
