サプライチェーンリスク低減の新常識　―3つの“ない”でサプライチェーン全体のセキュリティレベルを上げる―

デジタル空間に拡大する現在のサプライチェーン
デジタル技術によりビジネスモデルが急速に変化しています。従来、ビジネスを促進する要素として語られてきたデジタル技術ですが、現在その関係は逆転しています。ビジネスはデジタル技術のうえに成り立ち、ビジネスそのものがデジタル技術を前提とする時代になってきているのです。

この流れは、経営における資産の価値にも影響を与えています。デジタル資産の価値が増大し、物的資産の価値を超えることも頻繁に起こるようになりました。

自動車業界を例にみてみます。大手自動車メーカーの投資対象の約半分はいまやソフトウェア※です。ハードウェアからソフトウェアへのシフトにみられる事業構造の変化は、車に関係するデータとソフトウェアの、新たなエコシステムを生み出しています。コネクティッドカーにサービスを提供するための新たなエコシステムです。これは従来のサプライチェーンが拡大していることを示します。つまり、現在のサプライチェーンは、物的資産とプロセスに支えられたものから、デジタルデータやサービスにも依存する複雑なネットワークへと変化を遂げているのです。
※BCGが読む経営の論点2022（2021年、日経BP）

サプライチェーンの拡大、変化により、組織のリスクマネジメントにも再考が必要になっています。無形資産への脅威に備えるため、ソフトウェアの故障、マルウェアなどが事業に与える影響を考慮していく重要性が高まっています。

今まで以上に『無形資産への脅威』を想定したリスクマネジメントが求められる — 事業継続性に影響を及ぼす潜在的脅威の例　新版 CISSP CBK 公式ガイドブック1巻（2018年、NTT出版）

サイバー攻撃は、こうしたデジタルのサプライチェーンを狙う脅威の一つです。サプライチェーンが抱えるサイバーリスクについてみていきます。

組織でご利用いただけるガイダンス形式の資料はこちら（サプライチェーンリスク低減の3つの新常識）

資料ダウンロード

ランサムウェアの影響はサプライチェーンにも
情報セキュリティにおけるリスクは、「脅威」、「脆弱性」、「資産」の観点から定量的/定性的に判断します。「脅威」は被害をもたらす要因、「脆弱性」はあるべきセキュリティレベルと現状のギャップ、そして「資産」はセキュリティが担保されるべき対象を指します。

独自の風味を売りにしている飲料メーカーであれば、資産の一つにそのレシピがあげれるでしょう。組織にとっての脅威はそのレシピを狙う、産業スパイなどがあたります。レシピを機密レベルで管理できていない場合、それが脆弱性となります。

このリスクの三要素において、今注目すべきは、資産の多くがデジタル化、すなわちデジタル資産となってきていることです。そして、それに伴い、脅威が増加しているという点です。とくに外部からの脅威であるサイバー攻撃による経営リスクが増大しています。

なかでもデジタルデータを人質にとるランサムウェアは、事業継続を脅かす、経営の大きな脅威です。とくに昨今のランサムウェアは、従来の単純なばらまき型の手口から、組織の機密情報など資産価値の高いデータを狙う内部侵入型に移行しています。実際2022年の上半期、日本国内だけみても事業、生産活動を一時停止に追い込まれた被害報道が続いています。

ここで問題になるのが、サプライチェーンの分断を引き起こすランサムウェアなどのサイバー攻撃です。一つの組織のランサムウェア被害が、デジタル化されたサプライチェーンを介してサプライチェーン全体に拡大してしまうためです。

サプライチェーンへのサイバー攻撃による事業への影響を理解するため、攻撃種類とその被害から3つに分類し説明します。

サプライチェーンに対するサイバー攻撃の影響

１：サプライヤーの被害がサプライチェーンを構成する他組織に影響
セキュリティレベルの低いサプライヤーにサイバー攻撃が仕掛けられることで、その影響が直接的、また間接的にサプライチェーンを構成する納入先などの組織に広がるケースです。
子会社や密接なサプライヤーへの侵害によって引き起こされることが多いため、「ビジネス・サプライチェーン攻撃」とも言い換えることができます。
対策としては、関連会社や取引先のセキュリティレベル向上がカギになります。

２：コア部材が不正に細工され、全製品に脅威が紛れ込む攻撃者がコア部材に組み込まれるソフトウェアを改ざんし、マルウェアを仕掛けることで、サプライチェーン全体にマルウェアとその被害が拡大するケースです。
開発環境で利用されるサーバの侵害、セキュリティが勘案されていないオープンソースの利用からリスクが引き起こされます。ソフトウェアの改ざんに起因することから、「ソフトウェア・サプライチェーン攻」撃とも言い換えることができます。
ソフトウェア開発や変更などの管理を軸に、オープンソースの脆弱性評価など技術的な管理を取り込むことを推奨します。

３：共通のデジタル基盤が侵害され、サプライチェーン全体に被害が及ぶ
クラウドサービスなどサプライチェーン共通のデジタル基盤が侵害され、全体に一斉に被害が及ぶケースです。
デジタルサプライチェーンを支えるサービス基盤の侵害に起因するということから、「サービス・サプライチェーン攻撃」とも言い換えることができます。

いずれの攻撃にも共通するのは、サプライチェーンを構成する最も弱い部分が狙われる、ということです。つまり、サプライチェーン全体のセキュリティレベルはサプライチェーンに含まれる最もセキュリティレベルの低い組織で決まるのです。

それでは、サプライチェーン全体のセキュリティレベルを上げるためには、どのようなアプローチが有効でしょうか。

3つの“ない”でサプライチェーン全体のセキュリティレベルを上げる
ここでご提案したいのが、“セキュリティの樽“の考え方を利用したサプライチェーンのセキュリティです。

下図は、サプライチェーンを構成する最もセキュリティレベルの低い組織のレベルが、サプライチェーン全体のセキュリティレベルを決定する、ということを表した図です。樽に貯められる水の量が示すのが、サプライチェーン全体におけるセキュリティレベルです。樽を構成するそれぞれの板はサプライチェーンを構成する組織であり、板の長さが、組織ごとのセキュリティレベルを示します。

“セキュリティの樽”を利用し、サプライチェーンのセキュリティレベルの向上を考えると、
3つの“ない”を組み合わせた戦略の有効性が見えてきます。

“短い板にならない“

これには二つの意味があります。自組織のセキュリティレベルがサプライチェーンの中で低くならないということ、そして、セキュリティレベルが低い組織だと他組織から思われないようにすることです。

前者については自組織における対策を強化すること、そして後者はセキュリティレベルが低いと判断されないよう外部発信を行うことです。サプライチェーンから外されないよう、取引先からの信頼を得るためには、適切な外部発信が重要です。技術と組織面で内在する課題を特定して、適切な対策を実施し、有事の際の対処、対応を計画しておくことをおすすめします。

“短い板を入れない”

これは、サプライチェーンからリスク要因を排除する活動を指します。つまり、セキュリティレベルが一定の水準に満たない組織との取引を避けるという戦略です。これに有効なのが、政府や業界団体からのセキュリティガイドラインの動向の把握です。対策の参照とすることはもちろん、自社が所属するサプライチェーンにおける「一定のセキュリティ水準」がどれほどのレベルなのかの参考となるからです。

アメリカ政府は、政府機関が調達する製品のセキュリティを担保するために指定するガイドライン（NIST SP 800-53,171など）への準拠を求めています※。また、国内ではサプライチェーンの強靭化が示された経済安全保障推進法案※が成立しました。今後、国内においてもガイドラインに沿った調達戦略の見直しが求められる可能性は十分に考えられます。

民間企業においても、関連するサプライチェーンの中で、そのセキュリティレベルの要求に応えていくためには、ガイドラインの把握が今後一層、重要になってくるでしょう。
※NIST SP 800-53　(Security and Privacy Controls for Information Systems and Organization)
https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
NIST SP 800-171　(Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations)
https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final

※「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律」
https://www.sangiin.go.jp/japanese/joho1/kousei/gian/208/pdf/s0802080372080.pdf
https://www.sangiin.go.jp/japanese/ugoki/r4/220511.html

“短い板で終わらせない”この戦略によって、教育と監査によりサプライチェーン全体のセキュリティレベルの向上を図ります。
サイバー攻撃によるサプライチェーンの分断リスクが報道されたことで、多くの組織がグループ会社や取引会社に対してセキュリティ監査を進めています。

監査を進めるうえで重要なのが、復旧までを考慮し検証しておくということです。たとえば、ランサムウェアによりシステムが停止した場合、被害組織のシステムは数日間停止する可能性もあります。有事の状況、影響を想定し、復旧までを含め監査しておくことで、セキュリティレベルの向上を図ることができるでしょう。内容については、事業継続のための“復旧”までのサイバーセキュリティのフレームワークを網羅したNIST Cyber Security Frameworkなどが参考にできるでしょう。
※NIST Cyber Security Framework　https://www.nist.gov/cyberframework
IPAの翻訳版　https://www.ipa.go.jp/files/000071204.pdf

これら3つの戦略を、ビジネス要件に合わせて組み合わせていくことで、デジタルサプライチェーン全体におけるセキュリティ向上を図ることができます。

組織におけるサプライチェーンのサイバーリスクマネジメントの推進にご活用いただけるよう、
本記事内容をスライド形式のガイダンスとしてまとめた「サプライチェーンリスク低減の3つの新常識」をご用意しました。

主に以下にお役立ていただけます。
●現在のサプライチェーンにおけるリスクマネジメントの再考と診断
●セキュリティ戦略の策定
●サプライチェーンに参加する組織との対話