サプライチェーンセキュリティ確立のためのアセスメント、組織体制の整備
サプライチェーンのセキュリティは、企業間の連携が強化される現代において、その重要性を日々増しています。本記事では、効果的なサプライチェーンセキュリティを確立するための手順全般と、そのなかでも特に、リスクアセスメントと適切な組織体制の構築は組織体制の整備に焦点を当てて解説します。さらに、実際のインシデント事例を基にしたシナリオを交えて、これらのポイントの実例を示します。なお、サプライチェーンセキュリティに必要な対策については前回の記事をご覧ください。
目次
1. サプライチェーンのリスクとセキュリティの重要性
サプライチェーンとは、商品やサービスが製造、供給、販売される過程全体を指す概念です。例えば、原材料から製品やサービスがエンドユーザーの手に届くまでの一連の流れを指します。この流れは、原材料の調達から製造、輸送、販売、そして最終的な配送に至るまで、多くのステップを経て成り立っています。しかし、それぞれのステップにおいて、異なる特性や役割を持つ多くの関係者が関与しており、それぞれに特有のセキュリティリスクが伴います。主なリスクとセキュリティの目的を見ていきましょう。
1-1. サプライチェーンの主なリスク
サプライチェーンには多種多様なリスクが存在します。運用の面では、製品の品質低下、納期の遅延、あるいは需要予測の不確かさなどがリスクとして挙げられます。物理的リスクとして、天災や交通事故、さらに労働紛争が発生すると、生産や輸送が遅延したり中断されたりする可能性があります。国際的な視点では、地政学的リスクとして、輸送路の政治的な不安定さや関税の変更、貿易の制限が考慮されることがあります。経済的リスクとしては、通貨の変動や物価の上昇、経済危機の影響がサプライチェーンに影響を及ぼすことが考えられます。
特に注意が必要なのが、サイバーセキュリティの観点です。サプライチェーンを構成する外部ベンダーやサプライヤーを通じてのシステム侵入やデータの侵害、情報漏洩には注意が必要です。サプライチェーンを構成する企業がサイバー攻撃を受けることで、影響範囲は攻撃を受けた個社に留まらず、サプライチェーン全体が活動停止を余儀なくされるなど、影響範囲はサプライチェーン全体に及ぶことが起こりえます。
1-2. サプライチェーンセキュリティの目的とは
サプライチェーンセキュリティの目的は、ビジネスへの貢献です。
適切なセキュリティ対策の導入により、事業の中断を未然に防ぎ、継続的な運営を実現することが期待されます。また、事前の対策を行うことで、事後の大規模な損害やその修復にかかるコストを大幅に削減できるのです。
サプライチェーンに関する問題が公になると、企業の評判やブランドイメージに影響を及ぼすリスクがありますが、適切な対策によってこのようなリスクも回避できます。さらに、安全かつ効果的なサプライチェーンの確立により、競争優位性も期待できます。
2. サプライチェーンセキュリティを確立するためのステップ
サプライチェーンの代表的なブランドを担う企業だけでなく、構成する各社も含めたセキュリティを確立することは重要ですが、困難さも伴います。GSXでは、全メンバーの防犯意識とリスク認識の共有から始まり、リスクアセスメントを通じて保護すべき情報を特定し、その情報に基づき、組織体制の整備と具体的なセキュリティ対策を実施していくサポートをしています。各ステップでどのようなことが重要になるかを紹介します。
2-1. 防犯意識とリスク認識の共有
サプライチェーンのセキュリティを確保するためには、まず全メンバーが防犯意識とリスク認識を共有することが必要です。第一歩は経営層から始まります。経営者がリスク認識を持たない場合、必要な人的資源や予算の確保が難しくなり、効果的な対策が進められません。従って、経営者の理解を得ることと、そのリスク認識の共有は先行するべき事項となります。多くの企業やグループ会社では、経営会議が定期的に行われ、そこでグループの方針について説明や議論が行われます。このような機会を活用して、リスク認識や防犯意識に関する勉強会を実施すると良いでしょう。また、具体的なインシデント事例を元にした勉強会や、特定のシナリオを使用した経営者も参加するインシデント対応訓練を実施することで、より深い理解と認識の共有が期待できます。
2-2. 守るべき情報を特定するリスクアセスメント
次のステップは、サプライチェーン内の各社に関わるセキュリティの現状を理解することです。各社がどのようにセキュリティ対策を依頼や支援しているのか、それに関する資料や情報を共有し、その中での現存するリスクを明確にしていきます。ただし、各社の対応は様々で、契約のみを結んでいる場合もあれば、具体的なセキュリティ対策が進行中の場合もあります。
リスクの可視化方法としては、聞き取り調査などの確認手法の他に、リスクを明確にするツールの活用も考えられます。例えば、GSXでは「SecurityScorecard(セキュリティスコアカード)」というソリューションを提供しています。これは、攻撃者視点でサプライチェーン全体の脆弱性が外部からどのように見えているかを把握し、継続的にモニタリングするものです。
2-3. 組織体制の整備
守るべき対象を明らかにしたら、組織体制の整備に焦点を当てます。サプライチェーンの各社は、セキュリティ対策の依頼だけでなく、インシデントが発生した際に迅速に対応するための「CSIRT」のような体制の構築が求められます。多くのサプライチェーンでは、このような体制が形式的に整備されていないことが多いです。しかし、迅速で効果的な対応のためには、この体制の整備が不可欠です。さらに、この体制の整備は、資本関係のある子会社だけでなく、資本関係のない委託先やクラウドサービス提供者に対する評価を含む全体的なサプライチェーンの管理を目的としています。
2-4. システム対策
組織体制が整った後、それを強化・サポートするためのシステムの導入を進めます。例えば子会社のセキュリティを強化するための出入口対策やエンドポイント対策などを進めます。実際には、多くの関連会社や子会社で、異なるセキュリティツールが導入されているか、あるいは適切に運用されていない場面もあるため、こうしたツールを一元的に管理することが推奨されます。監視やインシデント検知、対応を整備することで、セキュリティ専門家がいない子会社などでも、セキュリティレベルを保つことが期待できます。
2-5. 関係者への周知・教育
サプライチェーンセキュリティの確立のための5番目のステップにおいて、技術的な対策やシステムの導入を基盤として、関係者全員の意識や行動も重要であることが強調されています。技術的には守ることができても、各関係者の意識が低ければ、セキュリティ漏洩のリスクが高まります。そこで、周知や教育活動を通じて、一人ひとりがセキュリティに気をつけることが求められています。
将来の運用を考えると、各企業や関連会社は自身の役割を果たす必要がありますが、強力なリーダーシップやサポートがある大手企業が主導し、必要なツールの提供や費用の調整を行うことで、全体のセキュリティレベルを向上させるアプローチが現実的で効果的であるとされています。
3. ランサムウェア被害を受けた企業グループのケーススタディ
2022年度に海外子会社(2社)がランサムウェア被害を受けた製造業B社のケースを紹介します。B社グループの規模は、連結の売上1000億円、国内外50社、従業員6000人です(多数のGSX支援実績より、本コラム向けに整理したケースです)。
3-1. 被害の状況
B社本体ではセキュリティポリシーが整備されていますが、グループ会社では各社のIT担当への注意喚起が中心でした。この状況から、標的型攻撃メールに含まれるウイルス対策ソフトでは検知困難なマルウェアによる攻撃を受けることになります。攻撃を受けた子会社はランサムウェアが実行されて情報系システムがダウン。同じ年度内に東アジアと東南アジアの子会社で発生しました。
両子会社は約2ヶ月間ネットワークを停止させざるを得なかったものの、生産・出荷は手作業を取り入れて遅延を避けました。一部のフォレンジック調査を実施し、標的型攻撃メールが原因であることは特定されましたが、情報漏洩の有無は確認できず、結果を公表しないまま終了しました。
3-2. リスクアセスメントと組織体制の整備
B社では、このサイバーインシデントを受けて、セキュリティ専門会社からの指摘を基に、他のグループ各社でも類似のインシデントが再発するリスクがあると認識。急いでセキュリティスコアカード(SSC)を使用して50社のリスクを可視化しました。この調査の結果、多くの技術的脆弱性が明らかとなり、予算外の費用を計上してこれらのリスクを低減しました。
上記と並行して、組織体制を整備し継続的にセキュリティ確保・改善をするために、グループ全体の情報セキュリティポリシーを定め、セキュリティ委員会を設置し、次の取組みを推進しています。
1.ポリシー最新化を踏まえた全社員及び管理職向け教育
2.SSCが検出した脆弱性対策の進捗・結果報告
3.今後導入する出入口対策、エンドポイント対策についての検討
4.グループCSIRT整備の検討
なお、上記3.4.についてはそれぞれ分科会を設置し、本体の関係者及び主要子会社のCIOなどが参加し、具体的な検討・予算確保を進めています。
サイバーインシデントからの学びを活かして、防犯意識とリスク認識の共有を重視し、リスクの可視化や組織体制の整備を同時進行で行うことが重要です。さらに、取り組む課題が増えるにつれて必要な人的リソースも増えるため、B社のようにセキュリティ専門会社など外部リソースを一時的に活用することも効果的です。
4. リスクアセスメントと組織体制整備のポイント
サプライチェーン全体において、セキュリティに関する意識の共有やリスクの可視化、インシデントが発生した際の迅速で適切な対応が必要とされています。これらの要素は、企業間の連携を強化し、サプライチェーンのセキュリティを高めるための基盤となります。ここでは、リスクアセスメントの方法、組織体制の構築、そして教育・啓発活動の重要性について詳しく説明いたします。
4-1. リスクアセスメント―ツールの使用と人的ネットワークが重要
サプライチェーンセキュリティのアセスメントにおいては、セキュリティスコアカードやセルフアセスメントツールを利用し、リスクを効率的に可視化すべきです。可視化したリスクへの対応は、全体の傾向やリーダーシップを持つ会社の施策を考慮し、判断します。
アセスメントを実施する際、リスクの可視化ツールによる効率化だけでなく、事前の調整も重要です。各社におけるセキュリティの担当者の選出・配置や役割の明確化、コミュニケーション方法が重要です。
4-2. 組織体制―本体に委員会を設置し、その下に実働部隊を置く
サプライチェーンセキュリティリスクは、グループ全体の事業に影響をもたらす可能性があります。リスクに備える組織体制を整えるには、グループ横断の視点が必要です。このため、テクノロジーだけでなく、ビジネスの知見もある役員クラスのCISOを責任者としたセキュリティ委員会を設置すべきです。
この委員会の下部組織にはCSIRTを設置します。CSIRTは、セキュリティインシデント発生時の対応だけでなく、予防策や品質向上策の推進等の実務を担当します。
また、グループ各社においてセキュリティ責任者及び担当者を任命し、責任者はセキュリティ委員として委員会に参加し、担当者がその支援をする体制を構築します。
4-3. 教育・啓発活動も重要
サプライチェーンセキュリティは、単にトップマネジメント層やセキュリティ担当者だけの問題ではありません。関係者全員がその重要性を深く認識し、一丸となって取り組むことが求められます。CISOの指導のもと、サプライチェーンに関わるすべての企業の従業員に共通の教育を提供することで、セキュリティレベルの底上げが可能となります。そして、セキュリティ体制はサイバー脅威や事業環境の変化に応じて適切に見直す必要があります。この流れの中で、持続的な教育や啓発活動を継続し、具体的なアクションプランやタスクの明確化を行うことで、サプライチェーン全体のセキュリティレベルを向上していくことができるのです。
5. サプライチェーンセキュリティの見える化や対策はGSXへ
サイバーインシデントによる被害は、大小を問わず、操業停止や代替手段での対応などの影響を受ける組織において、防犯意識やリスク認識が強化されます。しかし、サプライチェーン内でインシデントが未だ発生していない組織は、そのリスクを十分に認識しにくい傾向があります。甚大な被害を受ける前に、自らのリスクを明確に理解し、適切な防御策を整え、インシデント発生時の対応準備をしておくことが必須です。そしてこの認識はトップマネジメントから一般社員まで、全員が共有すべきものです。
GSXではサプライチェーンセキュリティの強化をサポートする様々なサービスを提供しておりますので、どうぞご気軽にご相談ください。
1.Security Scorecard
攻撃者の視点から自社や取引先管理を含むサプライチェーン全体の脆弱性を外部からどう見えるかを理解し、これを継続的にモニタリングすることで、攻撃されにくい環境を持続的に保つことを目指すソリューションです。
2.情報セキュリティポリシー整備支援
企業の情報保護要件やリスクを把握し、効果的なセキュリティポリシーを策定・実施するためのアドバイスやツールを提供するサービスです。
https://www.gsx.co.jp/services/cybersecurityorganization/documentationsupport.html
3.情報セキュリティ集合研修
関係者に情報セキュリティの重要性を教育するプログラムです。最新の脅威や対策を学び、実践的なケーススタディを通じて、適切な対応手段の習得や意識の向上を支援します。
詳細は以下よりお問い合わせください。
https://www.gsx.co.jp/inquiry
4.Mina Secure
GSXのセキュリティコンサルタントが監修するクラウド型eラーニングサービスです。日常のセキュリティリスクについてわかりやすく解説します。
5.トラップメール
標的型攻撃メール対策を模擬訓練で学ぶサービスです。従業員に模擬攻撃メールを送り、攻撃への意識向上と対応スキルを習得させます。