企業における情報セキュリティは「自社内だけ対策を実施すればよい」というフェーズを過ぎてしまったようです。企業で利用するITシステムやデータは、サプライチェーン上にある企業とIT上で接続しています。このため、サプライチェーン全体を通してのセキュリティマネジメントが必要となるのです。
あらゆる企業は何らかの商品やサービスを販売して経営されています。最終的にエンドユーザーに渡る製品を製造している企業から見れば、素材の調達、部品の作成、製品の製造、輸送、在庫管理、販売までの間で、大小様々な関係者が存在します。それぞれの関係者はITによる業務効率化を図っており、その間をネットワークで繋ぎ、効率的に製造から販売までが行える仕組みであるサプライチェーンを構築しているのです。
企業組織やサプライチェーンが効率を求めてITでの連携を行うことは当然のことでしょう。しかし、このサプライチェーンが情報セキュリティ上の脆弱性となる可能性を持っていることには注意が必要です。
本記事ではサプライチェーンにおけるセキュリティリスクとマネジメントについて、内容やポイント、近年の動向などを解説します。サプライチェーンリスクマネジメントに取り組まれる方は参考にしていただければ幸いです。
また、サプライチェーンリスクマネジメントのよくある疑問・お悩みについて、こちらの記事で解説しています。あわせてお読みください。
サプライチェーンの内容をおさらい
サプライチェーンリスクマネジメントについて解説する前に、前提となるサプライチェーンについておさらいしておきましょう。
サプライチェーンとは特定の製品やサービスを顧客に提供するにあたって、原材料の生産から、消費者に届くまでの一連の過程と、それを構成する一連の企業の集まりを表す言葉です。
家電製品の製造を例に考えてみると、製品を生産して消費者に届けるまでには多くの関係者が存在します。製品を提供するサプライヤー(メーカー)が下請けの業者に必要に応じて部品の製作などを依頼します。下請け業者は原材料を調達し、部品を生産します。それをサプライヤーが集めて組み立てを行い、販売店に納入し、販売店から消費者の元へ届くというのが一連のプロセスです。より細かく製造や輸送などの工程が分かれており関係者が増える場合もありますし、一企業の各部門がそれぞれの関係者にあたる場合もあるでしょう。
このサプライチェーンは、製品の生産だけでなく購入後の運用・保守などのサービスについても同様のことがいえます。また、物理的なモノである製品だけでなく、コンピューターで動作するソフトウェアや各種サービスの提供においても同様です。このようにサプライチェーンの考え方は、さまざまな生産物に取り入れられています。
業務のITによる効率化は、このサプライチェーンを構成する各関係者で重要視され進められてきました。サプライチェーンを構成する関係者間でデータを連携して、さらなる効率化が図られていることも少なくありません。
サプライチェーンのリスクとは
上記のようにサプライチェーンは多くの工程や関係者から成り立っています。現在のようなグローバル社会においては、サプライチェーンを構成する関係者は日本だけでなく、アジアなどの他の国々の企業を含むことも多いでしょう。
関係者が増えることによりサプライチェーンを構成する企業の中には、管理体制が悪かったり、業務に対する意識が低い企業が出てくることもあり得ます。すると、そのような企業が存在することは、サプライチェーン全体に対して大きなリスクとなります。
サプライチェーンのリスクに関して情報セキュリティ分野で発生した事例として下記のようなニュースを目にした方も多いでしょう。
- 再委託業者による機密情報の搾取
- 廃棄委託業者による情報横領
- 構成する企業が外部からサイバー攻撃を受けたことでサプライチェーン全体が停止
自社内で情報セキュリティ対策をきちんと実施していても、サプライチェーンを構成する企業で情報セキュリティインシデントが発生することで、サプライチェーン全体が停止する可能性まで存在しています。また、サプライチェーンを構成する企業から重要なデータが漏えいしてしまった場合には、サプライヤー側としても大きな信頼失墜に繋がってしまうでしょう。
サプライチェーンリスクマネジメント(SCRM)とは
サプライチェーンを構成することにより発生するリスクに対し、それを管理することで問題の発生を防ぐ仕組みがサプライチェーンリスクマネジメント(SCRM:Supply Chain Risk Management)です。
特にIT分野におけるサプライチェーンリスクマネジメントとは、ITを介したサービスやITインフラ・システムの調達網で想定されるリスクの管理や制御です。IT分野に限らず、従来SCRMは被災や事故時のBCP(事業継続計画)に重点を置いていました。しかし、近年の情報セキュリティ事件の発生を受け、IT分野のSCRMとして外部委託先のセキュリティ管理が重視されるようになっています。
IT関係のサプライチェーンリスク(情報セキュリティリスク)の顕在化には次のようなものがあります。それぞれに対し、防止策が求められています。
- 委託先からの情報流出
- 委託先からの納品物のマルウェア混入
- 委託先、また自社に対するサイバー攻撃
- 調達ソフトの脆弱性による事故
- 調達機器の不正な機能による情報窃取
- ITシステムの提供元、運用委託先における停止事故・情報流出・乗っ取り
サプライチェーンリスクマネジメントのポイント
サプライチェーンリスクマネジメントのポイントは、対象が自社だけではなくサプライチェーンを構成する全てとなることです。サプライチェーン内の業務に携わるすべての企業やシステムをマネジメントの対象とすることが必要となります。
サプライチェーン全体のセキュリティ強度は、サプライチェーンの最も弱い部分で決まってしまいます。リスクマネジメントが弱い部分があれば、そこから綻びが生まれます。綻びとなる最も対策が弱いところは、サイバー犯罪者から狙われてしまい、そこからサプライチェーン全体へ被害が広がってしまうのです。つまり、自社やその他の企業のセキュリティ対策が十分な水準であっても、そのような弱い部分が1か所でもあれば、サプライチェーン全体でのセキュリティレベルは弱くなってしまします。
特に自社の業務の一部を委託する場合には、委託先企業の選定時にセキュリティの観点を加えることが重要です。セキュリティリスクへの対策状況を定期的に確認することも必要となります。加えて、インシデントが発生してしまった場合のために、契約書上で委託元と委託先の責任分界点を明確にしておきましょう。
サプライチェーンの構成者に向けて情報セキュリティへの対策を行う場合には、ソフトウェアやハードウェアを用いた技術的な対策とともに、コンプライアンス、リテラシーといった組織的、人的な対策も必要となります。情報セキュリティは機器、ソフトウェアといったIT技術の面でも、それを利用する人材の教育、組織でのルール作りといった面でも漏れがないようにする必要があります。
サプライチェーン全体で高いレベルの情報セキュリティ対策が徹底されていることが求められるのです。
IT基盤として利用が進むクラウドサービスですが、こちらについてもリスクを認識して対策を行う必要があります。サプライチェーンにおけるデータをクラウドサービス上で格納する場合などでは、アクセス権限を正しく設定し情報漏えいを防ぐことまでの考慮が必要です。
サプライチェーンリスクマネジメント(SCRM)の動向を知る
IT促進を担う政府系組織の独立行政法人情報処理推進機構(IPA)は、情報セキュリティの事例やトレンドをまとめ、情報セキュリティ10大脅威として注意喚起を行っています。『情報セキュリティ10大脅威 2022』では、「サプライチェーン攻撃」は2021から1ランクアップし3位となり、ますます注意が必要な脅威であるとされました。
サプライチェーンへのIT分野での攻撃は、大きな脅威であるという認識が一般的にも広がっていきており、SCRMの重要性にも認知が広がりつつある状況です。広く認識される前からSCRMの重要性の高さについては政府機関により情報拡散が進められています。具体的な事例として、2017年には経済産業省により改訂版の『サイバーセキュリティ経営ガイドライン Ver 2.0』が頒布される、後述の2020年のSC3の設立など活発な動きが見られます。
ただ、SCRMは外部委託者との関係になるため、公開されている情報ではありません。一般的にどの程度普及しているのか、気になる方もいらっしゃるでしょう。ここで、最近の国内外のSCRMの動向を紹介します。
国内のSCRMの動向
国内ではIPAや経産省が主導するガイドラインがありますが、実際のところ、SCRMに対応しきれていない企業もあるようです。
2019年のIPAによる「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」によると、業務委託で扱う情報資産について「契約において情報セキュリティ上の責任範囲がわからない(委託元54.5%、委託先44.7%)」「実施すべき具体的な情報セキュリティ対策が明示されていない(委託元47.3%、委託先36.0%)」という回答が多く見られました。
企業によっては業務委託の契約段階で情報セキュリティに関する取り決めをせず、案件の要件定義ですり合わせたり、そもそも「情報セキュリティ要件として何を取り決めるかわからない」とする企業もあり、戸惑いもみられます。
これらの状況を受け、産業界が一体となり、2020年11月にサプライチェーンのセキュリティ対策を推進する「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」が設立されました。
IPAに事務局が置かれ、経産省もオブザーバーとして参加しています。
このSC3により、中小企業も含めたSCRMに関する包括的な施策や情報提供が行われています。
海外(欧米)のSCRMの動向
海外、特に欧米のSCRMの動向について簡単に紹介します。実は欧米でもサプライチェーンにおけるサイバーセキュリティ対策のルールづくりが進行中です。
EUでは2018年に顧客の個人データ保護規制のGDPRが施行されたほか、ネットワーク機器の認証規定の動きも出ています。2021年には標準契約条項(SCC)が改訂されるなど、ルール作りが引き続き強化されています。
米国では2017年に標準規格を策定する政府機関NISTのガイドラインに「サイバーサプライチェーンリスクマネジメント」が明示され、さらに2017年末に政府機関推奨のセキュリティ要件(SP800-171)が防衛調達に関わるすべての企業に適用されるようになりました。その後もVer.2へのアップデートなどさらなる仕組みづくりが積極的に実施されている状況です。
つまり、サプライチェーンに関わるセキュリティ要件を満たせない、またリスクに関する対策が実施できない場合、国際的な市場での取引に参加できなくなる包囲網が敷かれつつあると言えるでしょう。
サプライチェーンセキュリティのよくある疑問・お悩みについてはこちら。
サプライチェーンのセキュリティ問題事例
2020年のパンデミックを受けた各種規制によりサプライチェーンが途絶し、企業は既存のサプライチェーンマネジメント(SCM)に加えて、そのリスク管理の困難さに直面しました。
では、ITを利用したサプライチェーンにおけるセキュリティリスクとは、いったいどのような事例を想定しているのでしょうか。
サプライチェーンのITセキュリティ問題の事例パターンとして下記3つが挙げられます。
- インターネット × 不正アクセス
- ITシステム × 内部不正
- ITシステム × 人的ミス
上記の各パターンについて、以下に簡単に事例をあげて説明します。
インターネット × 不正アクセス
サプライチェーンのセキュリティ問題事例で、最も多く見られるのがインターネットからの不正アクセスに関する事件です。その典型的な事例は以下のとおりです。
サプライチェーンの概要
- 顧客:サービスのユーザー
- 委託元:インターネット上でサービスを運営
- 委託先:システムサーバーの運用
経緯と解決まで
- 第三者により委託元がインターネット上で展開するサービスへの不正アクセスが行われる
- 顧客から不正利用に関する問い合わせ
- 委託元が委託先に調査を依頼
- 委託先の運用システムの脆弱性を突いた不正アクセスと情報漏えいが発覚
- 委託先による対策実施
- 委託元が顧客に説明と謝罪
SCRMとして行っておくべき対応
あらかじめ委託元と委託先で以下を取り決め、有事での対応フロー、対応者と責任範囲を定めておくのが望ましいです。
- 個人情報を扱う場合の適切な情報セキュリティ対策
- 脅威発生時の情報共有と対応
ITシステム × 内部不正
委託先による不正が行われるケースは、サプライチェーンのセキュリティ事例における最悪の事態といえます。正規の権限を持つ内部者による犯行となると、被害発覚までに時間を要する場合もあるでしょう。
サプライチェーンの概要
- 顧客:サービスのユーザー
- 委託元:システムオーナー
- 委託先:システムの運用者、一部を再委託先に業務委託
- 再委託先:委託先の一部業務を受託
経緯と解決まで
- 委託元でシステム運用を行っているサーバー上に不審なアクセスログ確認
- 委託先に調査依頼
- 委託先の調査により再委託先での情報の不正取得が発覚
- 重要情報へのアクセス権限が担当者1人に集中し、情報の不正略取が引き起こされたと判明
- 委託元手動の元、直ちに委託先と再委託先の運用体制見直しを実施
- 委託元が顧客に説明と謝罪
SCRMとして行っておくべき対応
内部不正防止のため、適切な人的管理が行われるよう措置を講じる必要がありました。委託元は以下を実施しておくことが望ましいです。
- 情報セキュリティの要求事項に委託先の人的管理について明示
- 人的管理の実施状況の定期的・継続的な確認
ITシステム × 人的ミス
各種ITインフラやソフトウェアの利用に関わるオペレーションミス、設定誤りなどが、ITシステムの利用と関わる人的ミスにあたります。近年多発するクラウドサービス利用における権限設定もれが運用体制の不備により引き起こされた事例を紹介します。
サプライチェーンの概要
- 顧客:サービスのユーザー
- 委託元:サービス提供者
- 委託先:クラウド事業者
- 背景:
委託元では顧客企業のグループごとに情報を整理し、情報の閲覧は同グループ内に限るという取り決めが存在していました。そのため他グループの情報照会を不可とするシステム設定が必要でした。
経緯と解決まで
- グループごとのアクセス権限付与は、委託元・委託先ともに相手方が行うものと認識
- 取り決めに反し、他グループの情報が照会できる状態にあることが委託元で判明
- 委託先が委託元に作業範囲の説明を実施
- 委託元が顧客に説明と謝罪
SCRMとして行っておくべき対応
本件は委託元と委託先の双方で特定作業の責任範囲の認識に齟齬が生じ、引き起こされたセキュリティ事案です。クラウドサービスにおいては、各種の利用制限を行う権限の設定が漏れていても、サービスは利用可能です。
ユーザーがサービス範囲を正しく認識していなければ、簡単にセキュリティ事故が起こりかねません。ITサービスの利用において、委託元がサービス範囲の確認を行う必要があります。
サプライチェーンリスクマネジメント(SCRM)の具体的な実施内容
ITに関するSCRMに初めて取り組む方のために、基本的な枠組みや、そのなかで具体的に何をしたらよいか、エッセンスを紹介します。
SCRMの実施内容は主に4つのパートで構成され、内訳は「方針策定」「対象の定義」「情報接触の管理」「委託先との連携」となります。具体的な施策内容は以下をご参照ください。
方針策定
- 経営トップ主導で仕組みを構築
- 基本方針の策定
- 全体周知
- 管理体制の構築
対象の定義
- 対象となる重要情報を定義
- 重要情報と一般情報の区分(情報の格付け)
- 重要度別の取り扱いルールの策定と定期的な見直し(範囲と廃棄方法)
- 情報区分の表示(ラベル付け)
情報接触の管理
- 重要情報の接触における管理と把握
- 接近の制御(適切なアクセス権限の設定)
- 持ち出し困難となる措置(外部メディアの使用禁止、メール制限等)
- 視認性確保(漏洩を見つけやすい環境づくり:光学的な監視機構、ログ記録と定期確認)
委託先との連携
- サプライチェーン間の連携(委託元と委託先の情報共有/取り決め)
- 何が重要か、どう守るか
- セキュリティ対策実施の状況の確認手段(契約やチェックシート、直接のヒアリング等)
補足すると、SCRMは調達部門やIT部門に限らず、全社的な統一基準を設けて取り組むのが望ましいです。方針策定~情報接触の管理で定めた内容のうち、委託先に扱わせるのはどの情報か、その扱いについての認識を委託先と定期的に共有・確認していくことが必要になるでしょう。
このようにやることの多い委託先管理ですが、LRMの情報セキュリティ教育クラウド「セキュリオ」をご利用いただくと、クラウド上でラクラク一元管理することが可能です。
業界最安クラスのご利用料金で、その他にもISMS運用管理や従業員教育など情報セキュリティに関する機能が満載、貴社の情報セキュリティ教育をお手伝いします。
「セキュリオ」では、14日間無料でGR スタンダードプランの機能をご利用いただけるトライアルも実施中です。この機会にぜひお試しください。
まとめ
商品やサービスの提供において複数の関係者が存在するサプライチェーンの構築は、コスト低減や業務効率向上に向けた重要な施策です。
サプライチェーン上の企業間でITシステムの連携、共用によりさらなる業務効率向上を図ることも特別なことではなくなってきていますが、情報セキュリティ上のリスクともなるため管理が必要です。国内外で重要性が高まり、ルールが急速に整えられつつあるため、SC3などの動向に注目しながらサプライチェーンリスクマネジメントを行うことが求められます。
また、サプライチェーンリスクマネジメントのよくある疑問・お悩みについて、こちらの記事で解説しています。あわせてお読みください。
