サプライチェーン攻撃の実態、日本企業に迫りくる脅威
サプライチェーンセキュリティが注目を集める中、企業のセキュリティレベルを客観的に格付けする「セキュリティレーティング」を利用する企業が増えている。公開情報を収集・分析し、攻撃者視点で自社や関係各社の状況を把握した上で、セキュリティ対策を推進していくためだ。現在、同領域において支持を集めているベンダーの1つがSecurityScorecard、既に64ヵ国5万社以上の採用実績をもっている。
同社は2024年に『世界のサードパーティサイバーセキュリティ侵害に関するレポート』『日本におけるサードパーティサイバーセキュリティの現状』という2つのレポートを公開しており、これらの調査では日本企業が特異な状況に置かれていることが指摘された。
たとえば2023年において、世界全体で発生したサイバー侵害のうちサードパーティに起因したものは29%、日本では48%と約半数を占めているという。同社 日本法人で代表取締役社長を務める藤本氏は「これはアメリカ、オーストラリア、イギリス、インドなどと比較しても、特に高い数字です」と説明。特にイギリスでは9%と極めて低く、「サプライチェーンリスク管理に関する各種規制への準拠が強く求められてきた結果だ」と述べる。
なお、日本でのサイバー侵害の原因となったサードパーティとの関係性を詳しく調査すると、最も大きな割合を占めるのは「海外子会社、支店または買収先」で26%、国内子会社を加えると33.5%に達するという。加えてクラウドサービスなど、テクノロジー製品・サービスプロバイダーをあわせると58%にも及ぶ。また業種別に見てみると、製造業や自動車業、建設業が大きな割合を占めており、サードパーティ侵害に限るとテクノロジー、メディア・通信業が最も高い結果となった。
「製造業や自動車業、建設業は、産業構造上の理由から日本を代表する大手企業が多く存在し、狙われやすい傾向にあります。だからこそ、サプライチェーンセキュリティのリスク管理が重要です」(藤本氏)
現在、サプライチェーンリスク管理の重要性は、政府機関や団体からも発信されている。情報処理推進機構(IPA)が毎年発表している『情報セキュリティ10大脅威』では、「サプライチェーンや委託先を狙った攻撃」が7年連続でランクインしており、2023年以降は2位にランクアップしていることからも、その深刻さがうかがえる。
また経済産業省が公開している『サイバーセキュリティ経営ガイドライン Ver.3.0』では、経営者が認識すべき3原則およびサイバーセキュリティ経営の10項目において、自社のみならず国内外の拠点、ビジネスパートナーや委託先などを含めた、サプライチェーン全体の状況把握や対策の必要性が説かれた。2024年9月には『サプライチェーン対策評価制度の基本構想(案)』が公表され、サプライチェーン強化に向けたセキュリティ対策評価制度の具体化について議論されている。
同構想では、ビジネス観点とシステム観点の2つから取引先を評価し、重要度に応じて三つ星、四つ星、五つ星と区分していく。三つ星は原則としてサプライチェーンを形成するすべてが対象となり、四つ星はビジネス観点での重要度が中程度またはシステム観点での接続があるもの、五つ星はビジネス観点で重要度が大きいものだ。四つ星・五つ星を対象にした共通の内容として「サードパーティのリスク評価が行われ、リスクに応じた対応策が講じられている」ことが求められている。藤本氏は「数百から数千、場合によってはより多くの取引先・委託先について、継続的なリスク評価を効率的かつ共通基準に則ってどのように実現すべきか。ここがサプライチェーン対策の重要なポイントになります」と話す。
サプライチェーンリスクの管理、外部評価は羅針盤となるか
多くの企業では、なんらかのセキュリティガイドラインを参考にガイドラインを策定し、自社だけでなくグループ企業や取引先にも準拠を求めている。そして、どれだけ準拠しているのか、年に1回程度のアンケートで確認する方法が一般的だ。しかし藤本氏によれば、「現状のやり方で十分と考えている企業はほとんどいない」のが実情である。
そもそもアンケートで回答される内容が実態に即しているのか不明であり、実施・回答の負担も少なくない。加えてアンケートで把握できるのは、一時的な状況だけであり、継続的な監視には向いていないだろう。
「現状のサプライチェーンリスク管理において、リアルタイムかつ継続的に、実態に即した内容で、立場の異なるステークホルダー間でコミュニケーションをとるための共通言語がない」と藤本氏。ここで言う「立場の異なるステークホルダー」とは、経営陣とセキュリティの現場、本社とグループ企業といった社内の関係性、あるいは発注元と発注先という社外との関係性を指している。
こうした課題が山積している状況だからこそセキュリティレーティングに注目が集まっており、従来のASMなどにはないサービスとして「セキュリティリスクレイティングサービス」としてSecurityScorecardを提供しているという。同社が提供するサービスは、企業が管理するサイトドメインなどを基に“サイバー攻撃の受けやすさ”を攻撃者視点で客観的に評価し、A〜Fの5段階および100点満点でスコア化するものだ。
藤本氏は「Fグレードの企業はAグレードの企業と比較して13.8倍もサイバー侵害が発生する可能性が高いという調査結果が出ています」と説明する。これは過去のサイバー侵害について調査した結果から導き出された統計であり、最新の調査ではその差が拡大しているという。また評価は単にグレードを示すだけでなく、どこでどのような問題が確認されているのか、その問題に対応するためのエビデンスや推奨対応も提示してくれる。単に危険度がわかるだけでなく、適切な対処につなげることでスコアを継続的に改善することで、サイバー侵害を受ける可能性を低減していく狙いだ。
[画像クリックで拡大]
具体的には、管理対象の定義からスタートする。取引額や共有する情報、システム接続の有無などから管理対象を特定できれば、管理対象のドメインを登録。これによって評価を行える。たとえば「平均90点以上を維持する」「D・Fの企業をなくす」など、具体的な目標を定めたならば、具体的な問題の発生箇所や内容について、エビデンスや推奨対応も含めて取引先と共有することで、改善を進めていく形だ。
「このプロセスを継続することで、サプライチェーンリスク管理をより効率的かつ効果的に実現できます」(藤本氏)
キオクシア社やマクドナルド社はどう活用している?
SecurityScorecardを導入する企業は増加傾向にある。たとえばキオクシア社では、社内での情報連携、特に経営層向けのサイバーセキュリティに関する報告に苦慮しており、取引先まで対象にした管理の必要性は認識していたものの、具体的な手段がなかった。そこでSecurityScorecardを導入することで、約650社の1次調達先を対象としたサプライチェーンリスク管理を実現。Cグレード以下の企業にフォーカスして詳細を把握、特にD・Fグレードの企業への対応に注力するという目標を設定している。
[画像クリックで拡大]
また、日本でサイバーインシデントが発生した場合には、調達先内に該当企業がないかを確認するなど、経営層とのコミュニケーションツールとしても活用しているという。さらに経済産業省のサプライチェーン対策評価制度の基本構想(案)を意識した運用も計画しており、三つ星の取引先には総合グレードだけを確認できるサービスを、四つ星・五つ星の取引先には詳細が確認できるサービスを提供予定だ。
「最近ではサイバーセキュリティに関する、取引先とのコミュニケーションツールとしても活用されています。取引先と一緒にセキュリティの底上げを実現する、これが日本におけるサプライチェーンリスク管理のあるべき姿でしょう」(藤本氏)
一方で予算や人的リソースの制約から可視化や目標設定までは対応できるものの、取引先との具体的な改善活動や継続的なモニタリングまで手が回らない企業も多い。そこでSecurityScorecardは「SecurityScorecard MAX」(以下、MAX)というサービスを2024年にリリースした。同サービスでは、SecurityScorecardが顧客の取引先と直接・間接的に連携して問題解決、リスク低減に取り組むことが特長だ。
既にMAXを利用しているマクドナルド社は「積極的かつリアルタイムのリスクモニタリングや修復により、サードパーティのサイバーセキュリティ対策を迅速かつ効率的に強化できる」と太鼓判を押している。「日本は、どの国・地域よりもサプライチェーンセキュリティのリスクにさらされていることは明らかだ」と藤本氏。だからこそ従来的なセキュリティレーティングだけでなく、MAXのようなサービスを活用することで、リスク対応能力の向上に努める必要があると警鐘を鳴らす。
「まずは今の予算で自社やグループ企業を対象に小規模でスタートし、将来的に取引先まで範囲を広げる段階的な導入も可能です。サプライチェーンリスク管理について相談したい場合、他社事例を詳しく知りたい場合など、まずは気軽に連絡をしてください」と呼びかけた。
