災害やパンデミック、サイバー攻撃。経営者が知るべきサプライチェーンリスクとその対策

サプライチェーンリスクとは、製品調達から販売までの一連のプロセスにおいて、停滞したり途絶えたりするリスクを指します。

自然災害やパンデミック、テロなどでサプライチェーンリスクが発生することもありますが、最近ではサイバー攻撃による被害が増えています。悪意ある第三者が、本来侵入が難しい堅牢なセキュリティ体制を構築しているターゲット企業に対し、セキュリティレベルの低い取引先・子会社を足掛かりとして侵入を目論むもので、チェーン全体での被害の大きさは計り知れません。

本社がいくら予算をかけてセキュリティ体制を構築しても、サプライチェーンのどこかの取引先・子会社から攻撃を許した場合、脅威から社内を守ることは困難を極めます。

この記事ではサイバー攻撃によるサプライチェーンリスクについて、その概要や被害事例、対策方法を解説します。

サプライチェーンの1つ「セキュリティリスク」は悪質化している

製品調達から販売までの一連の流れであるサプライチェーン。そのプロセスでサプライチェーンが停滞したり途絶えたりするリスクを「サプライチェーンリスク」といいますが、中でも注意すべきなのがセキュリティリスクです。

サプライチェーンマネジメントの一環として、経営者が知っておきたいセキュリティリスクの種類や事例を解説します。

サプライチェーン攻撃の種類

サプライチェーン攻撃は、主に以下の3種類が挙げられます。

  • ・ビジネスサプライチェーン攻撃
  • ・サービスサプライチェーン攻撃
  • ・ソフトウェアサプライチェーン攻撃

ビジネスサプライチェーン攻撃では、子会社や取引先といったビジネス上の関連企業に侵入し、業務上のやり取りを利用して攻撃を仕掛けるのが特徴です。サプライチェーンリスクの中では常套手段とされ、多くの事例が発生しています。

サービスサプライチェーン攻撃では、MSP(マネージドサービスプロバイダ)などのサービス事業者をきっかけに攻撃を仕掛けるのが特徴です。サービス事業者を通じてランサムウェア攻撃を仕掛け、本社が気づかないうちに顧客に被害を及ぼします。

ソフトウェアサプライチェーン攻撃では、ソフトウェアの開発や提供の段階で攻撃を仕掛けるなどソフトウェアを介している点が特徴です。例えばアップデートプログラムに悪意のあるコードを仕込むなどの方法で、サプライチェーン内で広く使われているソフトウェアほど被害範囲が広がってしまいます。

サプライチェーンリスクにおけるセキュリティリスクは、上記のような種類に分類されます。

国内におけるサプライチェーンリスクの事例

国内ではすでに多くのサプライチェーンリスクの被害が報告されています。

■大手自動車メーカーのサプライチェーンでサイバー攻撃

2022年、国内の大手自動車メーカーの部品をつくるサプライチェーン企業がサイバー攻撃を受けました。システムが被害を受けたことで、同年3月に国内の14工場28ラインの全工場の稼働を停止しなければならず、部品を製造できなくなる事態になりました。

この事例では子会社のリモート接続機器の脆弱性を突かれており、ネットワークへの侵入を許してしまったことが大きな原因です。子会社はサイバー被害後に脅迫メッセージの存在を確認しており、“身代金要求型ウイルス”とも呼ばれるランサムウェアによるものとみられています。

■行政文書を保存していたHDDの転売による情報漏洩

2019年、ある自治体のシステムで利用されていたHDDがデータ復元可能な状況でネットオークションにて転売されていました。転売したのは産業廃棄物を請け負った企業の従業員で、破壊対象であったHDD18台を横領し、ネットオークションに出品していたのです。

落札者がデータの復元を試みたところ、住人の個人情報が含まれた行政文書データが確認され、発覚へとつながりました。

上記2件は国内事例の中でも大きなもので、企業が「サプライチェーンリスク」という脅威を認識する事例です。サプライチェーンリスクは、このようにサプライチェーン内の脆弱性を露呈するような被害が多くなっています。

サプライチェーン全体となると被害範囲が広く、事例のようにシステムの停止など業務への支障は免れません。サプライチェーンリスクの対策を講じるためには、本社だけでなく、サプライチェーン全体でセキュリティレベルを高めることが重要です。

使用した画像はShutterstock.comの許可を得ています

サプライチェーンリスクをどう回避すべきか?被害の傾向について

サプライチェーンリスクを回避するためには、被害の傾向や主な原因を知る必要があります。ここでは、サプライチェーンリスクの被害傾向や原因について解説します。

サプライチェーンリスクでは「ランサムウェアリスク」が増加傾向

2023年を過ぎ、サプライチェーンリスクの中でもランサムウェアの感染被害が増加傾向にあります。警視庁からも警鐘が鳴らされており、サプライチェーン全体の事業活動や地域の医療体制に影響が出た事例が報告されています。

警視庁資料:令和4年におけるサイバー空間をめぐる脅威の情勢等について

https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf

マルウェアの一種である「ランサムウェア」は、古くからあるセキュリティインシデントです。「身代金」を意味するRansom(ランサム)とソフトウェアを掛け合わせた造語で、ファイルを故意に暗号化して、ファイルを元に戻すことを引き換えに身代金を要求するのが主な手口です。

ランサムウェアによって暗号化されたファイルは、簡単には元に戻せません。また身代金を支払ってもファイルが元に戻る保証はなく、海外では国営医療サービスが被害を受けたことで手術や診療の中止となった事例があるほどです。

自然災害や国際情勢が起因する場合もある

サプライチェーンリスクが影響を受ける背景には、自然災害や国際情勢といった企業がコントロールしきれない要因もあります。

自然災害はサプライチェーンや輸送といった体系的な混乱を最も引き起こしやすく、悪意ある第三者からの攻撃対象にされがちです。また新型コロナウイルスのような国際情勢緊迫化はサプライチェーンを不安定にするため、サプライチェーンリスクが増します。

新型コロナウイルスのパンデミックや国際輸送が混乱したことで、サプライチェーンの見直しや再構築を行う企業が増えました。JETROの調査では見直しを行ったグローバル企業は6割を超えており、この点の影響も多大です。

JETRO:国際輸送の混乱など、日本企業にサプライチェーンの見直し迫る(世界、日本)

https://www.jetro.go.jp/biz/areareports/special/2022/0301/992fdac73a1ceb67.html

サプライチェーンリスク対策の第一歩はガイドラインの遵守

迫りくるサプライチェーンリスクの対策について、まずは「サイバーセキュリティ経営ガイドライン」の遵守が重要です。被害が増えたことで2023年に改訂されたため、今一度見直しておくと良いでしょう。

最後に、サプライチェーンリスクの対策方法について解説します。

被害を受け2023年に「サイバーセキュリティ経営ガイドライン」が改訂

経済産業省が定めている「サイバーセキュリティ経営ガイドライン」が、サプライチェーンリスクの被害状況から2023年3月に改訂されました。改定内容として、主に以下のポイントが挙げられます。

  • ・経営者が認識すべき原則について、取引関係にとどまらず国内外のサプライチェーンでつながる関係者へのセキュリティ対策の重要性を認識する。またセキュリティ対策について、積極的にコミュニケーションを取る必要があること
  • ・クラウドなどの最新技術において、サイバーセキュリティリスクの識別やリスク変化に対応すること
  • ・事業継続の観点から、業務の復旧プロセスを整合性の取れた復旧計画・体制の整備やサプライチェーン全体での演習を実施すること
  • ・サプライチェーンリスクについて、対応の役割や責任の明確化、対策導入支援といった方策を実行すること
  • ・被害を受けた際、報告や公表への備えを行うこと。ステークホルダーへの情報開示についても取り決めておくこと
    • デジタルを前提として成り立っているサプライチェーン。多くの関係者・企業が集まって形成しているこのサプライチェーンは、その企業によってセキュリティ対策が異なり、脆弱性が高い部分を狙われています。そのため、サプライチェーン全体でセキュリティ対策を見直すことが重要です。

      また多くの企業ではクラウドなど新しい技術・ツールの導入が進んでおり、この部分でもセキュリティ対策を講じなければなりません。そして万が一攻撃を受けた時に備え、報告や公表についても社内で取り決めをすることで、より適切な初動を取ることができます。

      セキュリティガイドラインについては、経営者が認識すべきセキュリティガイドラインでも解説しておりますので、ぜひご参照ください。

      脆弱性対策やアカウント管理の強化も有効

      コンピュータやOS、ハードウェアやソフトウェアといったツールにはさまざまな理由で「脆弱性」が潜んでいます。この脆弱性を狙うサプライチェーンリスクの被害事例は後を絶たず、早急な対策が必要です。

      まずOSやソフトウェアは更新プログラムがあれば速やかに実行して、常に最新の状態を保ちましょう。セキュリティ対策の点検はもちろん、必要に応じて脆弱性診断(セキュリティ診断)を行うのもおすすめです。

      またサプライチェーンリスクの被害事例についても積極的に情報収集を行い、早めの対策を行うのも良いでしょう。事例を知ることで傾向を把握でき、より適切に対処できます。

      サプライチェーン全体でのセキュリティ対策を

      サプライチェーンリスクについて、その種類や事例、対策方法をご紹介しました。

      サプライチェーンリスクは1度被害を受けると影響が大きく、経営者としては対策に気が抜けません。いくら本社を対策しても関係各所を介して攻撃を仕掛けてくるため、サプライチェーン全体でのセキュリティ対策が必要です。