2025.01.10
「サプライチェーン」
目次
サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。
これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。
本記事では、中小企業が特に知っておくべきセキュリティ用語について解説しています。
今回のテーマは、これまでたびたび触れてきた「サプライチェーン」です。
サプライチェーンとは
サプライチェーンは簡単に言うと、『取引先を含めた供給ネットワーク』です。
もう少し詳しく言うと、サプライチェーンは製品やサービスの提供者、原材料の供給元、さらには物流業者や販売パートナーなど、多岐にわたる要素で構成されています。
一つの製品が消費者に届くまでには、さまざまな企業が連携し、それぞれが異なる役割を果たしています。
例えば、皆さんが勤めている企業を中心に考えてみましょう。下図を参照してください。
この図の白い丸で示されているのが各取引先であり、それを結ぶ網のようなネットワークがサプライチェーンです。
このサプライチェーンの中には、自社や各取引先が利用しているクラウドサービスの提供事業者や、社内のIT機器を保守しているITベンダーなども含まれています。
サプライチェーンリスクとは
サプライチェーンリスクとは、取引先を経由して自社のセキュリティが破られてしまうこと、または取引先のセキュリティ事故などにより自社が被害を受ける危険性があることを指します。
サプライチェーン内で起きるサイバー攻撃の具体例を挙げると、以下のような状況が考えられます。
〈ステージ1〉 サプライチェーンの中にセキュリティ体制が脆弱な企業がある場合、その企業が
最初に攻撃を受けセキュリティが破られます。
〈ステージ2〉 攻撃に成功した企業を足掛かりにその企業の取引先へと攻撃が波及し、時間と
ともに被害が拡大します。
〈ステージ3〉 攻撃被害の拡大の中で自社の取引先が侵害されることで、自社も攻撃対象とな
る危険性が高まります。
攻撃方法としては、以前ご紹介した「標的型攻撃メール」に加え、取引先からの物理的な納品物(USBメモリ、CD-ROM、電子媒体など)にマルウェアが混入されるケースなどがあります。
また、取引先がサイバー攻撃を受けた場合、自社が受ける影響には次のようなものがあります。
・取引先が攻撃を受け業務が停止した場合、必要な部品等の供給がストップし、自社の生産が停止する。
・取引先のマルウェア感染などにより、自社から委託していた個人情報や秘密情報が漏えいする。
サプライチェーンリスクの重要な点は、「自社だけでは対応できない」ということです。
これまで何度も、「自分事としてセキュリティに気を付けてください」というメッセージを伝えてきました。
しかし、自社のセキュリティをどれだけ高めても十分に対応できないリスクの一つが「サプライチェーンリスク」です。
サプライチェーンリスクへの対応策
自社だけで、サプライチェーンリスクを完全に回避することは非常に困難です。
しかし、取引先と協力し、セキュリティを共に強化することにより、リスクの低減を図ることが可能になります。
重要なのは自社のセキュリティを強化するだけではなく、取引先に対しても同じレベルのセキュリティの強化を要求することです。
例えば、次のようなことが考えられます。
- 同等の品質や価格で同じ製品やサービスを提供する企業が複数ある場合、セキュリティ状況を比較し、セキュリティレベルが高い企業と取引を行う。
- 取引の契約書にセキュリティの条項を設け、一定レベル以上のセキュリティ水準を達成することを取引条件とする。
- 取引先からのセキュリティ強化の相談に応じる。または、共同でセキュリティ確保の施策を検討し、実施する。
最後に
今後、取引先からのセキュリティに対する取り組みの要求はますます高まると予想されます。
これまで、一部の経営者の中には「中小企業だから狙われない」「セキュリティはコストで利益を生まない」という認識がありました。
しかし、このような認識は自らのビジネスを狭める要因となります。セキュリティ対策が不十分な企業は、今後、取引先から選ばれにくくなり、ビジネスチャンスを逃すことにもなりかねません。
もう一度、自社のセキュリティ状況を確認し、対応が不十分な項目を一つ一つ改善していくことが重要です。セキュリティ対策を継続的に強化し、自社のビジネスを守っていきましょう。
サプライチェーンに関する攻撃例や具体的な対策について、こちらの記事で詳しく紹介しています。ぜひ自社のセキュリティ対策に活かしてください。
・中小企業におけるセキュリティ脅威への対策強化〜サプライチェーンの弱点を悪用した攻撃から対策を学ぶ〜
参考文献
- 実務者のためのサプライチェーンセキュリティ手引書 IPA
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/f55m8k0000003vf5-att/f55m8k0000003vp7.pdf - SC3 サプライチェーン・サイバーセキュリティ・コンソーシアム
https://www.ipa.go.jp/security/sc3/