2022年上半期、国内の製造業を中心に関連会社や取引先のサイバー攻撃を発端に、自社の工場の稼働を一時停止する事態が相次いだ。関連会社や取引先の攻撃によるシステム障害が発生した影響によるものだ。これにより「サプライチェーン攻撃」という言葉が広く人々の耳目に触れる形となった。

　いまやサプライチェーンを構成する企業同士は、製品や部材などの有形資産だけでなく、システムやデータなどの無形資産でも密接につながり合っている。そのため、ある会社がサイバー攻撃を受けると、その被害が他社に飛び火し、事業継続性に影響を及ぼす。これが現在のサプライチェーン攻撃の怖さだ。

　「取引に共通のクラウド基盤を利用するケースも増えており、どこかに脅威が侵入すると、その影響は広範囲に及びます。有形資産だけにフォーカスしてきた従来のサプライチェーンの概念を拡大し、無形資産を含めたリスクマネジメントを考えることが必要です」とトレンドマイクロの石原 陽平氏は強調する。

　現在は顧客情報、人事情報、製品図面などのデータはもちろん、ビジネスプロセスの多くもデジタル化されており、守るべき情報資産は増え続けている。当然、セキュリティーリスクも増大。このリスクは「脅威」「脆弱性」「資産」の掛け算で決まるが、ビジネスを支える情報資産を減らすことはできず、また脅威は攻撃者の手に委ねられている。

　「そこで重要なのが、脆弱性を減らすことです。この変数を小さくすることが、サプライチェーン全体のリスク低減につながります」と石原氏は言う。

　脆弱性を減らすための有効な指針となるのが「セキュリティーの樽」の概念である。樽を形成する板はサプライチェーン各社を、板の長さは各社のセキュリティーレベルを示し、貯められる水の量がサプライチェーン全体のセキュリティーレベルを表す（図）。「サプライチェーン全体のセキュリティーレベルを上げるには『短い板にならない』『短い板を入れない』『短い板で終わらせない』という3つの施策が重要です」（石原氏）。

貯められる水の量は一番短い板に依存するため、板をできるだけ均一に長くして、隙間なく組み上げることが重要だ

　まず「短い板にならない」ためには、経営レベルで自社の課題を特定し、内部強化を進めるとともに、外部へその情報を発信することが大切だ。自社が短い板ではないことを周知し、取引継続につなげる。

　「短い板を入れない」ためには、リスク要因を強制的に排除する必要がある。「NIST SP 800などのガイドラインを常に確認し、サプライチェーン全体で共通したセキュリティーレベルを確保できるよう、柔軟な調達戦略を取ることが重要です」と石原氏は語る。

　そして「短い板で終わらせない」ためには、システム復旧までを見越した監査対応がカギになる。攻撃を受けてから復旧までの時間が長いほど、被害は大きくなるため、監査結果に基づく施策の改善やセキュリティー教育などを、速やかに現場に適用することが肝心だ。「ただ、監査対応はする側にも受ける側にも相応の負荷が生じます。対応の重要度に応じて濃淡をつけることがポイントです」と石原氏は付け加える。

　セキュリティーの樽の概念を基に、3つの施策をビジネス要件に合わせてバランスよくミックスする。これがデジタル立国ジャパンのサプライチェーンを守る“セキュリティーの新常識”となるだろう。