サプライチェーンの隙を狙うサイバー攻撃に警戒せよ
SecurityScorecardは2013年に米国ニューヨークで設立された企業であり、「SecurityScorecard Ratings」(以下、セキュリティレーティング)というサービスでセキュリティスコアリングを提供している。藤本氏は「外部から見たセキュリティ体制を成績表のような形で表現するサービスで、既にグローバルで1200万を超える企業に提供しています」と説明。日本でもサプライチェーンリスク管理の一環として導入が進んでいる。
日本企業のサプライチェーンリスクに対する関心は年々高まっており、実際にIPA(情報処理推進機構)が毎年公表している『情報セキュリティ10大脅威』では、「サプライチェーンの弱点を悪用した攻撃」が2019年に登場してから年々順位が浮上しており、最新の2024年版では昨年同様2位にランクインした。
また、経済産業省が公表している『サイバーセキュリティ経営ガイドライン Ver 3.0』では、経営者が認識すべき3原則として「サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策の目配りが必要」と明記されている。加えて、重要10項目の指示9では「ビジネスパートナーや委託先を含めたサプライチェーン全体の状況把握及び対策」とも記載された。
これほどまでに自社だけでなく、サプライチェーン全体に目を配る必要性が高まっている背景には、取引先などを狙ったサイバー攻撃が多発している現状がある。大手企業ではサイバーセキュリティ対策が進んでいるのに対して、周辺の取引先は対策が十分に行き届いていない。そこで攻撃者たちは大手企業に連なる周辺企業を足掛かりにするが、もし侵入を許してしまったならば、その影響は甚大だ。たとえば、2022年に大手自動車メーカーのサプライヤー企業がサイバー攻撃を受けたことが発端で、メーカーの製造ラインが数時間にわたり停止。これを受けて、事故翌月には経済産業省や総務省、警察庁をはじめとした関係7省庁から注意喚起が発信された。
セキュリティインシデントが多発する中、SecurityScorecardでは『Global Third-Party Cybersecurity Breaches』というサイバーセキュリティ侵害に関するレポートを発表している。日本ではサードパーティーに端を発した攻撃が特に多いと指摘されているとして、「なぜ日本でサードパーティー製品によるサイバー侵害が突出しているのか、追加のレポートで解説予定です」と藤本氏は話す。
