サプライチェーンリスクが重視される時代に
背景
2022年3月、自動車部品メーカーの一社がサイバー攻撃を受け、結果的に取引先の国内自動車工場がすべて停止してしまいました。
ビジネスの一連の商流におけるリスクをサプライチェーンリスクと呼び、以前から問題視されていましたが、ここまで規模の大きいインシデントとなったのは初めてのことです。
ビジネスの一連の商流におけるリスクをサプライチェーンリスクと呼び、以前から問題視されていましたが、ここまで規模の大きいインシデントとなったのは初めてのことです。
多くの製品は、原料から商品になるまで多くの会社が関わります。サイバー攻撃者は、より高く売れる重要な情報を常に狙っていますが、そうした情報を持つ会社の多くは大企業やグローバル企業です。しかし、こうした会社は堅牢なセキュリティ対策を構築しており、サイバー攻撃者にとっては難敵です。
攻撃の足掛かりに
そこでサイバー攻撃者は、サプライチェーンの中でセキュリティ対策の弱い会社を狙い、そこを足場にして本丸である大企業にアプローチします。
脆弱性を悪用して不正アクセスするケースや、標的型メールをきっかけとしたランサムウェアによる被害が増えており、特にセキュリティ対策の手薄な海外の拠点等が狙われています。
脆弱性を悪用して不正アクセスするケースや、標的型メールをきっかけとしたランサムウェアによる被害が増えており、特にセキュリティ対策の手薄な海外の拠点等が狙われています。
サプライチェーンリスクは以前から課題となっており、クレジットカード業界のセキュリティ基準(PCI DSS)では早期から加盟店へのセキュリティ対策の強化を求めていますし、日本のいわゆる個人情報保護法においても、取引先のセキュリティ対策について監査するよう求めています。
さらに2020年には、米国国立標準研究所(NIST)が「NIST SP800-171」を公開されました。これにはサプライチェーン全体での機密情報以外の重要情報(CUI)の保護が含まれており、日本でも2022年に防衛省がNIST SP800-171をベースにした調達基準「防衛産業サイバーセキュリティ基準」を公表しています。この基準はいずれ政府全体、そして一般企業へと広がっていくと考えられます。
さらに2020年には、米国国立標準研究所(NIST)が「NIST SP800-171」を公開されました。これにはサプライチェーン全体での機密情報以外の重要情報(CUI)の保護が含まれており、日本でも2022年に防衛省がNIST SP800-171をベースにした調達基準「防衛産業サイバーセキュリティ基準」を公表しています。この基準はいずれ政府全体、そして一般企業へと広がっていくと考えられます。
サプライチェーンに加われなくなる?
これが広まっていくと何が起きるかというと、一定以上のセキュリティ対策を行っていないと、サプライチェーンに加わることができなくなるということです。
米国は特に先行しているため、米企業のサプライチェーンになっている日本企業も一定のセキュリティ対策が求められ、準拠できないとサプライチェーンに参加できなくなる可能性があります。
米国は特に先行しているため、米企業のサプライチェーンになっている日本企業も一定のセキュリティ対策が求められ、準拠できないとサプライチェーンに参加できなくなる可能性があります。
今後、日本の大企業やグローバル企業も対応していくと考えられるため、サプライチェーンの企業に対してセキュリティ対策の監査が実施されるようになるでしょう。
