今、必要なサプライチェーンのセキュリティ管理とは

―サプライチェーン上のサイバーセキュリティリスクについて具体的に教えてください。

雪本：製品の企画から調達、生産、在庫管理、配送、販売といったサプライチェーンには、さまざまな取引先や委託先が関与します。たとえ企業内でセキュリティが強固に守られていても、外部の委託先や再委託先に起因する情報漏えいといった事案は起こる可能性があり、実際に昨今、増加傾向にあります。委託先と専用線でつながっていたために、委託先でのサイバー攻撃によって自社のネットワークに不正にアクセスされ、社内情報が遮断され、業務停止に追い込まれるケースもあります。

こうしたサプライチェーンの弱点を悪用した攻撃は、情報セキュリティの脅威においてもここ数年、リスクが高まっています。攻撃する側の観点で見れば、セキュリティが頑強な企業の“本丸”を狙うより、抜け穴がある取引先を見つけたほうが素早く侵入できるわけで、取引先のリストやメールアドレスといった情報さえ入手できれば、そこを糸口に攻撃を仕かけられると考えます。

ネットワーク上に悪質なランサムウェアを仕込み身代金を要求する手口や、機密情報や個人情報を入手してダークウェブで売りさばくといった犯罪行為のほか、サプライチェーンを止めること自体で攻撃者の実力を示そうとするなど、目的はさまざまですが「悪意をもった攻撃」という点は共通します。

―国際規格や基準では、サプライチェーンでのサイバーセキュリティリスクを、どのように位置づけていますか？

雪本：情報セキュリティマネジメントシステム（ISMS）の国際規格にISO/IEC 27001があり、その管理策の模範がISO/IEC 27002です。2022年に改訂され、2013年版と比べて要求事項が詳細になったほか、サプライチェーンに関する内容も強化されています。

また、米国国立標準技術研究所（National Institute of Standards and Technology：NIST）が発行するサイバーセキュリティ・サプライチェーンリスクマネジメント（C-SCRM）に関する文書にNIST SP800-161 revision1があり、サプライチェーン全体のサイバーセキュリティリスク管理を支援するためのガイダンスを提供しています。

欧州でも、欧州ネットワーク情報セキュリティ機関（European Union Agency for Cybersecurity：ENISA）が、欧州におけるサイバーセキュリティの脅威に関する報告書をまとめ、2022年に発行しています。その内容を踏まえ、サプライチェーンにおけるサイバーセキュリティの実践について概要をまとめ、取引先に対するリスクの把握や管理、定期的なモニタリングや是正といったPDCAサイクルを回すよう推奨しています。
EU加盟国に対し、エリア内のサプライチェーン上でのサイバー攻撃事案について、24時間以内の報告を法律で義務付け、違反者には罰金を科すまでになっており、日本企業であっても、EU子会社の工場がEU内の取引先から調達をしているケースではEUの法律が適用されます。

―こうした規格や基準を企業がセキュリティ管理として活かすには、どのような取組みが必要になりますか？

雪本：外部委託先である取引先に対するセキュリティ管理をPDCAで回すには、4つのステップを通じた準備が不可欠です。

第一に、取引先に対するセキュリティ要求事項の提示です。自社と取引先間でのネットワーク接続の有無や外部記録媒体の利用有無などに応じたセキュリティ要求事項を用意する必要があります。

第二に、要求事項を記載した契約書や仕様書を基にした契約の締結です。単なる要求事項だけでは努力義務の範疇にとどまり、いざ取引先を検査しようとしても、どういった権限があるのか、取引先から反発されかねません。

第三に、セキュリティ対策状況のモニタリングです。契約締結前に実施した自己点検のチェックリストを基に、アンケート調査や立入検査を通じて調査します。もし指摘事項が発生したら、是正措置の指示や対策案を確認することも必要です。

第四に、契約終了時におけるデータ廃棄の確認です。取引先にある機密情報の廃棄について、証明書の提出などで確認し、将来にわたる懸念点をなくすことです。一連のセキュリティ管理を取引先ごとに厳密に行うのが理想ではありますが、企業によっては数千社にも及ぶ取引先を一律に管理するのは容易ではありません。無理や無駄がなく、現実的な解決策を考えることが、並行して求められます。

―実際に取引先へのセキュリティ管理を機能させるには、社内でどのような体制を構築する必要がありますか。

雪本：管理部門の中での役割分担の明確化が重要です。具体的には、取引先への発注を担う調達部をしっかり巻き込むことです。企業のセキュリティ対策は、情報セキュリティ部が中心となって推進することが多いですが、取引先へのセキュリティ管理においても、セキュリティ要求事項や取引先へのチェックシートなどのドキュメントや管理手順といったマニュアルは情報セキュリティ部が準備したほうがよいでしょう。

ただ、取引先と直接につながっている管理部門は調達部です。セキュリティ管理は、取引先に応じた対応が肝要なので、セキュリティ管理の意図や要求事項を伝えるにも、まずは調達部が理解していなければ機能不全に陥ってしまいます。

たとえば、1,000社の取引があったとします。なかには専用線をつないでリアルタイムで自動発注をかけている取引先がある一方で、紙の発注書を発行し、年に数度だけ注文品を受け取る取引先もあるかもしれません。セキュリティ要求事項が100項目あるとして、その両方に同じような管理をする必要はなく、リスク度合いに応じ「20項目だけで構わない」といった個別対応を心がけるべきです。取引先にとっても過度な負担は避けたい思いもあり、厳しい管理を要求されれば、取引を断られる事態にもなりかねません。取引先を色分けし、実態に即したセキュリティ管理にアレンジしていく役割が調達部に求められます。

―取引先へ協力を求める際に、管理部門が留意すべき点は何ですか。

雪本：セキュリティ管理ポリシーを宣言するタイミングは、すべての取引先で等しく対応するべきですが、その後の施行や、契約書の取り交わしといった手順は一度に変える必要はないでしょう。取引先とは何らかの契約を時限的に締結しているわけで、その次の契約のタイミングを視野に、求めたいセキュリティ対策を丁寧に取引先に伝えたほうが円滑な移行につながります。実際、中小の製造業ではまだ対策が不十分な会社は多く、不安の声が広がりかねません。要求事項が履行されていなかったとしても、いきなり契約を打ち切るといった紋切り型の処置ではなく、どのくらいの期間があれば対応が可能か、相手の回答を得て、継続的に履行を促すのが現実的です。

また、個々の取引先へのチェックシートの案内や回答をメールで行うのではなく、ウェブページでの特設フォームなどでシステム化、自動化させていくことも取引先が多い企業ほど有効です。案内忘れや取引先への照会といった懸念や事務的な手間を減らすことができます。既に取引先管理システムといった仕組みを有しているのであれば、そことつなげて一元管理するのも一案です。サイバーセキュリティに限らず、コンプライアンス体制や財務状況、工場のBCP対応などを網羅すれば、サプライチェーン全体のリスク把握につながります。

本稿に関連したサービスを紹介します。下記以外のサービスについてもお気軽にお問い合わせください。