サプライチェーンリスクマネジメントとは?委託先の状況把握と管理の重要性

この記事は約8分で読めます。

事業の安定的な継続にはサプライチェーンのリスク管理が必要です。現代のサプライチェーンは物資や人材の供給網だけでなく、電子データの供給網もその一つです。この記事ではITのサプライチェーンリスクマネジメント(SCRM)の概要を説明します。

SCRMに対する国内外の動向、典型的な問題事例を知り、末尾に紹介するSCRMの具体的な実行に生かしていきましょう。

また、委託先管理の必要性や手順についてまとめた資料をご用意しております。本記事と併せてご活用ください。

サプライチェーンリスクマネジメント(SCRM)とは

IT分野におけるサプライチェーンリスクマネジメント(SCRM)とは、ITを介したサービスやITインフラ・システムの調達網で想定されるリスクの管理や制御です。IT分野に限らず、従来SCRMは被災や事故時のBCP(事業継続計画)に重点を置いていました。しかし、近年の情報セキュリティ事件の発生を受け、IT分野のSCRMとして外部委託先のセキュリティ管理が重視されるようになっています。

IT関係のサプライチェーンリスク(情報セキュリティリスク)の顕在化には次のようなものがあり、それらに対する防止策が求められています。

  • 委託先からの情報流出
  • 委託先からの納品物のマルウェア混入
  • 委託先、また自社に対するサイバー攻撃
  • 調達ソフトの脆弱性による事故
  • 調達機器の不正な機能による情報窃取
  • ITシステムの提供元、運用委託先における停止事故・情報流出・乗っ取り

サプライチェーンリスクマネジメント(SCRM)の動向を知る

IT促進を担う政府系組織のIPAは『情報セキュリティ10大脅威 2020』のなかで、「サプライチェーン攻撃」を昨年に引き続き4位と上位にランクインさせています。このような影響力のある脅威と認定される前からSCRMの重要性は意識されており、すでに2017年には改訂版の『サイバーセキュリティ経営ガイドライン Ver 2.0』が頒布されています。

ただ、SCRMは外部委託者との関係になるため、一般的にどの程度普及しているのか、気になる方もいらっしゃるでしょう。ここで、最近の国内外のSCRMの動向を紹介します。

国内のSCRMの動向

国内ではIPAや経産省が主導するガイドラインがありますが、実際のところ、SCRMに対応しきれていない企業もあるようです。

IPAの調査によると、業務委託で扱う情報資産について「契約において情報セキュリティ上の責任範囲がわからない(委託元54.5%、委託先44.7%)」「実施すべき具体的な情報セキュリティ対策が明示されていない(委託元47.3%、委託先36.0%)」とあります。

企業によっては業務委託の契約段階で情報セキュリティに関する取り決めをせず、案件の要件定義ですり合わせたり、そもそも「情報セキュリティ要件として何を取り決めるかわからない」とする企業もあり、戸惑いもみられます。

それを受けてか、産業界が一体となり、2020年11月にサプライチェーンのセキュリティ対策を推進する「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」が設立されました。IPAに事務局が置かれ、経産省もオブザーバーとして参加しています。今後中小企業も含めたSCRMに関する包括的な施策や情報提供がなされるものと期待されます。

海外(欧米)のSCRMの動向

次いで、海外、特に欧米のSCRMの動向について簡単に紹介します。実は欧米でもサプライチェーンにおけるサイバーセキュリティ対策のルールづくりが進行中です。

EUでは2018年に顧客の個人データ保護規制のGDPRが施行されたほか、ネットワーク機器の認証規定の動きも出ています。米国では2017年に標準規格を策定する政府機関、NISTのガイドラインに「サイバーサプライチェーンリスクマネジメント」が明示され、さらに2017年末に政府機関推奨のセキュリティ要件(SP800-171)が防衛調達に関わるすべての企業に適用されるようになりました。

つまり、サプライチェーンに関わるセキュリティ要件を満たせない、またリスクに関する対策が実施できない場合、国際的な市場での取引に参加できなくなる包囲網が敷かれつつあるのです。

サプライチェーンのセキュリティ問題事例

2020年のパンデミックを受けた各種規制によりサプライチェーンが途絶し、企業は既存のサプライチェーンマネジメント(SCM)に加えて、そのリスク管理の困難さに直面しました。では、ITを利用したサプライチェーンにおけるセキュリティリスクとは、いったいどのような事例を想定しているのでしょうか。

IPAによると、サプライチェーンのITセキュリティ問題の事例パターンは次の3つになります。

  • インターネット × 不正アクセス
  • ITソリューション × 内部不正
  • ITソリューション × 人的ミス

上記の各パターンについて、以下に簡単に説明します。

インターネット × 不正アクセス

サプライチェーンのセキュリティ問題事例で、最も多く見られるのがインターネットからの不正アクセスに関する事件です。その典型的な事例は以下のとおりです。

関係性
  • 顧客:サービスのユーザー
  • 委託元:インターネットビジネスを展開
  • 委託先:システムサーバーの運用
  • 第三者:不正アクセスを実行
経緯と解決まで
  1. 顧客から不正利用に関する問い合わせ
  2. 委託元が委託先に調査を依頼
  3. 委託先の運用システムの脆弱性を突いた不正アクセスと情報漏えいが発覚
  4. 委託先による対策実施
  5. 委託元が顧客に説明と謝罪
SCRM
あらかじめ委託元と委託先で以下を取り決めておくのが望ましいです。

  • 個人情報を扱う場合の適切な情報セキュリティ対策
  • 脅威発生時の情報共有と対応

ITソリューション × 内部不正

委託先による不正が行われるという、サプライチェーンのセキュリティ事例における最悪の事態といえます。正規の権限を持つ内部者による犯行となると、被害発覚までに時間を要する場合もあります。

関係性
  • 顧客:サービスのユーザー
  • 委託元:システムオーナー
  • 委託先:システムの運用者、一部を再委託先に業務委託
  • 再委託先:委託先の一部業務を受託
経緯と解決まで
  1. 委託元で不審なアクセスログ確認
  2. 委託先に調査依頼、再委託先での情報の不正取得が発覚
  3. 重要情報へのアクセス権限が担当者1人に集中し、引き起こされたと判明
  4. 直ちに委託先と再委託先の運用体制見直しを実施
  5. 委託元が顧客に説明と謝罪
SCRM
内部不正防止のため、適切な人的管理が行われるよう措置を講じなくてはなりません。委託元は以下を実施するのが望ましいです。

  • 情報セキュリティの要求事項に委託先の人的管理について明示
  • 人的管理の実施状況の定期的・継続的な確認

ITソリューション × 人的ミス

人的ミスには単純なシステムの操作や設定ミスがありますが、ここでは運用体制の不備により引き起こされた事例を紹介します。

関係性
  • 顧客:サービスのユーザー
  • 委託元:サービス提供者
  • 委託先:クラウド事業者
  • 背景:委託元では顧客企業のグループごとに情報を整理し、情報の閲覧権限は同グループ内に限るという取り決めが存在、そのため他グループの情報照会を不可とするシステム設定が必要でした。
経緯と解決まで
  1. グループごとのアクセス権限付与は、委託元・委託先ともに相手方が当然行うものと認識
  2. 取り決めに反し他グループの情報が照会できる状態にあることが委託元で判明
  3. 委託先が委託元に作業範囲の説明を実施
  4. 委託元が顧客に説明と謝罪
SCRM
本件は委託元と委託先の双方で特定作業の責任範囲の認識に齟齬が生じ、引き起こされたセキュリティ事案です。特にクラウドサービスは安価で利用しやすいため、ユーザーのサービス範囲の誤認によるセキュリティ事故が起こりかねません。ITサービスの利用において、委託元がサービス範囲の確認を行う必要があります。

サプライチェーンリスクマネジメント(SCRM)の具体的な実施内容

SCRMに初めて取り組む方のために、基本的な枠組みや、そのなかで具体的に何をしたらよいか、エッセンスを紹介します。SCRMの実施内容は主に4つのパートで構成され、内訳は「方針策定」「対象の定義」「情報接触の管理」「委託先との連携」となります。具体的な施策内容は以下をご参照ください。

  • 経営トップ主導で仕組みを構築
    • 基本方針の策定
    • 全体周知
    • 管理体制の構築
  • 対象となる重要情報を定義
    • 重要情報と一般情報の区分(情報の格付け)
    • 重要度別の取り扱いルールの策定と定期的な見直し(範囲と廃棄方法)
    • 情報区分の表示(ラベル付け)
  • 重要情報の接触における管理と把握
    • 接近の制御(適切なアクセス権限の設定)
    • 持ち出し困難となる措置(外部メディアの使用禁止、メール制限等)
    • 視認性確保(漏洩を見つけやすい環境づくり:光学的な監視機構、ログ記録と定期確認)
  • サプライチェーン間の連携(委託元と委託先の情報共有/取り決め)
    • 何が重要か、どう守るか
    • セキュリティ対策実施の状況の確認手段(契約やチェックシート、直接のヒアリング等)

IPAセキュリティセンター『サプライチェーンのセキュリティ脅威に備える』の一部を抜粋・編集)

補足すると、SCRMは調達部門やIT部門に限らず、全社的な統一基準を設けて取り組むのが望ましいです。1~3で定めた内容のうち、委託先に扱わせるのはどの情報か、その扱いについての認識を委託先と定期的に共有・確認していくことが必要になるでしょう。

まとめ

IT分野のサプライチェーンリスクマネジメント(SCRM)では情報セキュリティ管理が重視され、外部委託先の情報取り扱いに関する管理と確認が必要です。

ITが介在するサプライチェーンで情報セキュリティの問題を起こさずに済むよう、SCRMの仕組みの構築と安全な取引環境をサポートしていきましょう。

また、弊社では委託先管理の重要性・手順についてまとめた資料を無料でご用意しております。ぜひ本記事と併せてご活用ください!

情報セキュリティ対策サイバー攻撃対策認証取得を目指すリスクマネジメント
タイトルとURLをコピーしました