AI時代のサプライチェーンセキュリティー
その全体像と具体的な戦略とは

　ここ数年、サプライチェーンを狙ったサイバー攻撃が、頻繁に報道されるようになった。IPAが毎年発表する「情報セキュリティ10大脅威」でも、「サプライチェーンの弱点を悪用した攻撃」は6年連続で「組織向け脅威」の2位をキープしている。「実際にビジネスサプライチェーン攻撃が発生した際には、8割以上でシステムが停止しています」と指摘するのは、メイソンコンサルティングの藤田 哲矢氏だ。

　「サプライチェーン攻撃では、最もセキュリティーの弱い部分が狙われます。18世紀スコットランドの哲学者であるトマス・リードは、随筆の中で『鎖の強さは最も弱い輪によって決まる』という言葉を残していますが、サプライチェーン攻撃もその言葉通り、弱い部分が攻撃されることで全体に影響を及ぼしてしまうのです」（藤田氏）

　サプライチェーンの中で「最も弱い輪」になりがちなのが中小企業だ。「そもそもサイバーセキュリティーとは何か」を正確に理解しておらず、自社の弱みも把握できていない企業も少なくない。またセキュリティーの必要性を理解している場合でも「何から対策を行えば分からない」ケースが多く、そもそもセキュリティー対策のコストを支払えない企業も珍しくない。

　一方、大手企業側にも課題はある。現在でも自社のセキュリティー対策に比べ、取引先のセキュリティー対策を軽視し、取引先を踏み台にした攻撃に対して備えがない企業が少なくないという。

　実際に大手企業の現状は、「何もしない」「取引先にISO27001取得を求める」「Excelなどのチェックリストでモニタリングする」という大きく3つに分かれる。「何もしない」は論外にしても、後者2つの対応にも、それぞれ限界があると藤田氏は指摘する。

　「まずISO27001を全サプライヤーが取得するには膨大なコストがかかる上、これはマネジメントシステムに対する認証であるため、技術的対策への評価が不十分です。またExcelなどのチェックリストでは作業の手間が大きく、サプライヤーの自己点検なので脆弱性診断など外部からの検査の術がありません。また当然ながら、サプライヤーに対して詳細なフィードバックを行うには、かなりの時間がかかってしまいます」

　それでは本来は、サプライチェーンのセキュリティー強化にどう取り組むべきなのか。「全体像を見据えてアクションすべき」だと藤田氏は指摘する。その全体像を示したのが図1である。 　「サプライチェーンセキュリティーの強化は、大きく5つのステップで行う必要があります。その中で最初に行うべきことが『クイック診断』です。これによってより詳細なリスク評価を行う対象を絞り込み、リスク対応策を決めて、経営層に意思決定してもらうのです」（藤田氏）

　「クイック診断」の方法としては、最近では「セキュリティー評価ツール」の導入が広がっている。メイソンコンサルティングでも「Panorays」というツールを取り扱っており、これを一言で表現すれば「セキュリティー版の帝国データバンク」なのだという。

　「Panoraysは『外部評価』と『内部評価』の2つの観点で評価を行います。外部評価は、外部から見えるサイバーリスクを自動的に評価し、その結果を100点満点でスコアリングした上で、同業他社との比較を行います。一方、内部評価は、セキュリティー組織体制・対策状況のアンケートを、クラウド上で効率的に実施します。アンケートのテンプレートも用意されており、これを自社向けにカスタマイズすることも可能です」（藤田氏）

　しかし、セキュリティー評価ツールは万能ではなく、限界もある。まず外部評価は、Web上に公開されているアセットしか分析できず、無関係のドメインを過剰検知する可能性がある上、脆弱性診断より精度が低い。また内部評価も「自己点検」に過ぎない。

　「クイック診断は、あくまでも優先度の高いサプライヤーを把握するためのものだと考えるべきです」と藤田氏は説明する。優先度の高いサプライヤーとは、事業上の重要性が高いものの、セキュリティー対策が十分に進んでいない企業のこと。こうした企業に対しては、経営者主導で連携し、脆弱性診断や脅威インテリジェンスの収集などを行うとともに、これらの技術的手法では評価できない組織・業務プロセスのリスク診断も実施し、必要なセキュリティー対策を明確化していくことが重要なのだという。

　メイソンコンサルティングでは、このようなリスク診断を幅広くサポート。規制やガイドラインを網羅的に調査した上で、サプライヤーの成熟度を評価し、サイバーリスクを診断している。グローバルなサプライチェーンにも対応し、現地に出向いた実地監査も必要に応じて実施しており、その実績も多数である。さらにリスク対応策も、応急措置を行うべき“止血的”なものと、抜本的な対応策の両方を顧客と共に策定し、セキュリティー強化までを支援している（図2）。 　「サプライチェーンセキュリティーの強化では、技術面だけではなく組織・業務プロセスの評価も行う必要があるため、IT部門だけで対応するのは限界があります。購買部門や経営企画部門など、部門横断型でのチーム対応が求められるのです。また社内・社外のステークホルダーが多いため、トップマネジメントの関与が大きな成功要因となります。そのため、経営陣にサプライチェーンセキュリティーの重要性と、セキュリティー投資の必要性を認識してもらうことが不可欠になります」と藤田氏は話す。

　ただし、経営層に投資の必要性を認識してもらうには適切なアプローチが必要となる。それは「危機感の醸成」と「投資対効果」だという。

　「危機感の醸成」とは、自社がリスクに晒されていることを正しく認識できる情報のこと。例えば、ダークウェブへの情報流出事例や、ホワイトハッカーの攻撃による脆弱性の把握、同業他社のインシデント事例などが挙げられる。これらはいわば、セキュリティー対策の重要性を理解するための定性情報だ。

　一方「投資対効果」は、どれだけの投資を行うべきかを判断するための定量情報だ。具体的にはROIのセキュリティー版である「ROSI（Return On Security Investment）」を算出して経営層に提示することになる。

　ROSIの計算式は、リスク削減額（想定損害額×発生確率）÷情報セキュリティー対策投資額で表される。ある大手出版社では、想定被害額を3億3500万、ランサムウエアの発生確率を38％（日経の記事などから他社事例を確認して算出）、セキュリティー投資額を3500万として計算。その結果、レピュテーション被害を除いてもROSIは364％となり、セキュリティー投資が高いリターンを生むことを経営層に報告したという。

　ただし、想定被害額を算出することは難しい。そうした場合はIPAのWebサイトに、情報セキュリティ10大脅威にかかわる事象が発生した場合の計算シート「NANBOK」が提供されているため、これを活用すると良いだろう。

　「これら2つの情報を準備するためには、いずれも技術面・経営面の両面で、専門的な知見が欠かせません。経営層に対しては、技術的な情報をベースに『経営の言語』でコミュニケーションを行う必要があります。メイソンコンサルティングはこうした場合もサポートしています」と藤田氏。同社では今後もサプライチェーンセキュリティーの強化に向け、伴走支援していく考えだ。