サプライチェーン攻撃の実態、日本企業に迫りくる脅威
サプライチェーンセキュリティが注目を集める中、企業のセキュリティレベルを客観的に格付けする「セキュリティレーティング」を利用する企業が増えている。公開情報を収集・分析し、攻撃者視点で自社や関係各社の状況を把握した上で、セキュリティ対策を推進していくためだ。現在、同領域において支持を集めているベンダーの1つがSecurityScorecard、既に64ヵ国5万社以上の採用実績をもっている。
同社は2024年に『世界のサードパーティサイバーセキュリティ侵害に関するレポート』『日本におけるサードパーティサイバーセキュリティの現状』という2つのレポートを公開しており、これらの調査では日本企業が特異な状況に置かれていることが指摘された。
たとえば2023年において、世界全体で発生したサイバー侵害のうちサードパーティに起因したものは29%、日本では48%と約半数を占めているという。同社 日本法人で代表取締役社長を務める藤本氏は「これはアメリカ、オーストラリア、イギリス、インドなどと比較しても、特に高い数字です」と説明。特にイギリスでは9%と極めて低く、「サプライチェーンリスク管理に関する各種規制への準拠が強く求められてきた結果だ」と述べる。
なお、日本でのサイバー侵害の原因となったサードパーティとの関係性を詳しく調査すると、最も大きな割合を占めるのは「海外子会社、支店または買収先」で26%、国内子会社を加えると33.5%に達するという。加えてクラウドサービスなど、テクノロジー製品・サービスプロバイダーをあわせると58%にも及ぶ。また業種別に見てみると、製造業や自動車業、建設業が大きな割合を占めており、サードパーティ侵害に限るとテクノロジー、メディア・通信業が最も高い結果となった。
「製造業や自動車業、建設業は、産業構造上の理由から日本を代表する大手企業が多く存在し、狙われやすい傾向にあります。だからこそ、サプライチェーンセキュリティのリスク管理が重要です」(藤本氏)
現在、サプライチェーンリスク管理の重要性は、政府機関や団体からも発信されている。情報処理推進機構(IPA)が毎年発表している『情報セキュリティ10大脅威』では、「サプライチェーンや委託先を狙った攻撃」が7年連続でランクインしており、2023年以降は2位にランクアップしていることからも、その深刻さがうかがえる。
また経済産業省が公開している『サイバーセキュリティ経営ガイドライン Ver.3.0』では、経営者が認識すべき3原則およびサイバーセキュリティ経営の10項目において、自社のみならず国内外の拠点、ビジネスパートナーや委託先などを含めた、サプライチェーン全体の状況把握や対策の必要性が説かれた。2024年9月には『サプライチェーン対策評価制度の基本構想(案)』が公表され、サプライチェーン強化に向けたセキュリティ対策評価制度の具体化について議論されている。
同構想では、ビジネス観点とシステム観点の2つから取引先を評価し、重要度に応じて三つ星、四つ星、五つ星と区分していく。三つ星は原則としてサプライチェーンを形成するすべてが対象となり、四つ星はビジネス観点での重要度が中程度またはシステム観点での接続があるもの、五つ星はビジネス観点で重要度が大きいものだ。四つ星・五つ星を対象にした共通の内容として「サードパーティのリスク評価が行われ、リスクに応じた対応策が講じられている」ことが求められている。藤本氏は「数百から数千、場合によってはより多くの取引先・委託先について、継続的なリスク評価を効率的かつ共通基準に則ってどのように実現すべきか。ここがサプライチェーン対策の重要なポイントになります」と話す。
