サプライチェーンリスクとベンダーリスクの管理
グローバル化、分業化するビジネスのリスクの管理
分業化、グルーバル化が進んだ現在、ビジネスが自社のみ、もしくは国内のみで完結している企業は皆無とといっても過言ではありません。様々な企業が、グローバルで複雑な依存関係のもとでビジネスを行っており、こうした企業がかかえるビジネス上のリスクの多くが必ずしも自社に起因しないものとなっています。
製造業におけるサプライチェーンのリスクについては、敢えて述べるまでもありません。東日本大震災のような災害は、在庫を最小限に抑えている完成品メーカーにとって、自社に直接的な被害がなかったとしても、部品供給が止まることで、死活問題となり得ます。最近では、半導体の供給不足や半導体メーカーの火災などが原因で自動車業界に大きな影響が出ています。地政学的な問題もあります。備品の供給や生産を特定の国に依存している場合、その国の政情などに大きな影響を受けることも少なくありません。高性能磁石に使用されるレアアースなどがいい例でしょう。
さて、これまで意識されてきたサプライチェーンリスクは、主に供給や品質に関するものでした。しかし、製品の電子化やビジネスのIT化が一段と進む中で、こうした部分でのリスクも無視できなくなっています。たとえば、自動車には数十個に及ぶECUと呼ばれるマイクロプロセッサ(マイコン)が搭載されています。かつて、メカニズムやハードウエアロジックで構成されていた機能も、マイコンによるプログラム制御に置き換わっています。より柔軟でメンテナンス性を向上でき、コストも抑えられるからです。こうした目的で、マイコンとメモリーや周辺回路などをワンチップ化したSoC(システムオンチップ)と呼ばれるLSIも普及しています。こうしたチップとそのソフトウエア、回路モジュールなどの多くが、専業メーカーで製造され、完成品メーカーに納品されます。当然ながら、これらの多くはネットワーク化を前提として作られており、サイバー攻撃の対象となりうるものです。脆弱性の排除はもとより、操作ミス、さらには悪意に対しても耐性を持たなければなりません。設計、製造プロセス、検査など、すべての段階で、こうしたことを意識した対応が必要となります。取引しようとしている、もしくは取引しているサプライヤーに対して、完成品メーカーは明確な指針を示す必要があります。同時に、サプライヤーがそうした指針に沿った製造を行っているかどうか確認するプロセスを確立しなければいけません。
製造業におけるサプライチェーンのリスクについては、敢えて述べるまでもありません。東日本大震災のような災害は、在庫を最小限に抑えている完成品メーカーにとって、自社に直接的な被害がなかったとしても、部品供給が止まることで、死活問題となり得ます。最近では、半導体の供給不足や半導体メーカーの火災などが原因で自動車業界に大きな影響が出ています。地政学的な問題もあります。備品の供給や生産を特定の国に依存している場合、その国の政情などに大きな影響を受けることも少なくありません。高性能磁石に使用されるレアアースなどがいい例でしょう。
さて、これまで意識されてきたサプライチェーンリスクは、主に供給や品質に関するものでした。しかし、製品の電子化やビジネスのIT化が一段と進む中で、こうした部分でのリスクも無視できなくなっています。たとえば、自動車には数十個に及ぶECUと呼ばれるマイクロプロセッサ(マイコン)が搭載されています。かつて、メカニズムやハードウエアロジックで構成されていた機能も、マイコンによるプログラム制御に置き換わっています。より柔軟でメンテナンス性を向上でき、コストも抑えられるからです。こうした目的で、マイコンとメモリーや周辺回路などをワンチップ化したSoC(システムオンチップ)と呼ばれるLSIも普及しています。こうしたチップとそのソフトウエア、回路モジュールなどの多くが、専業メーカーで製造され、完成品メーカーに納品されます。当然ながら、これらの多くはネットワーク化を前提として作られており、サイバー攻撃の対象となりうるものです。脆弱性の排除はもとより、操作ミス、さらには悪意に対しても耐性を持たなければなりません。設計、製造プロセス、検査など、すべての段階で、こうしたことを意識した対応が必要となります。取引しようとしている、もしくは取引しているサプライヤーに対して、完成品メーカーは明確な指針を示す必要があります。同時に、サプライヤーがそうした指針に沿った製造を行っているかどうか確認するプロセスを確立しなければいけません。
サプライヤー自身の全般的なセキュリティ対策も重要です。サプライヤーがサイバー攻撃を受けたり、内部者による不正行為が発生したりした場合、製品そのものの信頼性、安全性やその供給が悪影響を受けたり、製品や取引に伴って共有されている自社の機密情報が漏洩するといった事態が発生する可能性があります。従って、サプライヤーが、製品そのものだけでなく、会社としてどのようなセキュリティ対策を実施し、それらが有効に機能しているかどうかをモニタリングする手段も必要となります。
これらは、製品のサプライチェーンに関するものですが、物理的な物品を伴わないサービスについても、同様の事が言えます。たとえば、自社のITシステムは、いまや、ビジネスに不可欠のものであり、機密情報を含む大量の情報を格納、処理しています。こうしたシステムの導入、運用・管理についてもアウトソーシングが主流になっており、さらにはクラウドのように、システムそのものを外部サービスに依存するケースも増加しています。ITに限らず、業務委託全般について、自社の業務のクオリティーや、重要情報の保護についてのリスクが増大しているのです。こうした業務委託も含む社外ベンダーマネジメントの重要性、とりわけリスクシナリオの検討と対策は極めて重要になっていると言えるでしょう。
これらは、製品のサプライチェーンに関するものですが、物理的な物品を伴わないサービスについても、同様の事が言えます。たとえば、自社のITシステムは、いまや、ビジネスに不可欠のものであり、機密情報を含む大量の情報を格納、処理しています。こうしたシステムの導入、運用・管理についてもアウトソーシングが主流になっており、さらにはクラウドのように、システムそのものを外部サービスに依存するケースも増加しています。ITに限らず、業務委託全般について、自社の業務のクオリティーや、重要情報の保護についてのリスクが増大しているのです。こうした業務委託も含む社外ベンダーマネジメントの重要性、とりわけリスクシナリオの検討と対策は極めて重要になっていると言えるでしょう。
これらを総合して、ベンダーリスクマネジメント(VRM)として考えるならば、以下のような流れの繰り返しを意識する必要があります。
(1) 基本的なリスクの評価
・ベンダーへのセキュリティ侵害が(機密性、完全性、可用性の3軸で)自社に与える影響を、シナリオベース(たとえばある問題が発生した場合、自社の何にどのような影響が生じ、どの程度の損失が発生するかといったストーリー)で評価する。
(2) 対策要件の検討
・(1)で評価したリスクを低減するために必要な事項(対策)について洗い出しを行い、その種類ごとに体系化する。
・各種のセキュリティ標準等にあてはめて、実装要件(方法、厳格さなど)を決める。
(3) ベンダーの対策評価と協議
・リスクの大きさを考慮しながら、ハイリスクのベンダーから順に、現状の対策を調査・評価し、対策要件とのギャップを明らかにする。
・対策のあり方などについて、ベンダーと協議し、欠けている対策の実施を促す。
・定期的に(3)のステップを繰り返し、評価をアップデートする。
(4) 最終的なリスクの評価と対応
・(1)に対し、対策(3)を考慮した上で、最終的なリスクの大きさを評価し、それが受容可能なレベルかどうかを判断する。
・受容が難しい場合、(3)のステップに戻って協議、調整を行うことや、自社側でのリスク軽減策、補填準備(保険等)を検討する。
このステップで、一般に最も困難が伴うのが(3)のステップでしょう。会社と会社の間での協議には様々な困難が予想されます。互いのカルチャーの違いからくる認識のずれなども発生します。こうした協議は可能な限り客観的な視点で行うことが重要ですが、実地調査、検査、監査といったプロセスを行うことは簡単ではなく、また、すべての対象についてこうしたことを行うには、労力を含めたコストがかかりすぎます。
(1) 基本的なリスクの評価
・ベンダーへのセキュリティ侵害が(機密性、完全性、可用性の3軸で)自社に与える影響を、シナリオベース(たとえばある問題が発生した場合、自社の何にどのような影響が生じ、どの程度の損失が発生するかといったストーリー)で評価する。
(2) 対策要件の検討
・(1)で評価したリスクを低減するために必要な事項(対策)について洗い出しを行い、その種類ごとに体系化する。
・各種のセキュリティ標準等にあてはめて、実装要件(方法、厳格さなど)を決める。
(3) ベンダーの対策評価と協議
・リスクの大きさを考慮しながら、ハイリスクのベンダーから順に、現状の対策を調査・評価し、対策要件とのギャップを明らかにする。
・対策のあり方などについて、ベンダーと協議し、欠けている対策の実施を促す。
・定期的に(3)のステップを繰り返し、評価をアップデートする。
(4) 最終的なリスクの評価と対応
・(1)に対し、対策(3)を考慮した上で、最終的なリスクの大きさを評価し、それが受容可能なレベルかどうかを判断する。
・受容が難しい場合、(3)のステップに戻って協議、調整を行うことや、自社側でのリスク軽減策、補填準備(保険等)を検討する。
このステップで、一般に最も困難が伴うのが(3)のステップでしょう。会社と会社の間での協議には様々な困難が予想されます。互いのカルチャーの違いからくる認識のずれなども発生します。こうした協議は可能な限り客観的な視点で行うことが重要ですが、実地調査、検査、監査といったプロセスを行うことは簡単ではなく、また、すべての対象についてこうしたことを行うには、労力を含めたコストがかかりすぎます。
多くの企業では、(3)のステップで、調査票を使ったサーベイが行われていますが、実地監査を行わない限り、その信頼性は不確かなままです。かといって、実地監査や脆弱性検査のようなことを頻繁に行うことは困難です。調査票に対する回答の信頼性検証は難しい課題ですが、相手先が、何らかのセキュリティ認証を取得している場合は、それを根拠として信頼することも出来るでしょう。一方、こうした認証がない場合は、なんらかの検証手段が必要です。信頼性評価のための検証は、すべての項目について行う必要は無く、重要と思われる項目、たとえば、脆弱性管理だったら、インターネットに公開されている各種サーバなどの状況が回答と合っているかどうかなどをサンプリング的に検証し、回答どおりかどうかをみるような方法もあるでしょう。もし、相違があれば、調査票全体についての信頼度を下げ、その旨を指摘することで改善を促すことができるからです。
しかし、対象が多数の場合、こうしたサンプリングチェックだけでも、多くの費用と労力を要することになります。こうした労力を削減する目的で、第三者的なセキュリティ格付け評価のようなものを利用することも考えられます。最近、米国を中心に、様々な企業について、インターネットに公開されている情報やサービスを中心に、外から観察した結果としてのでセキュリティ対策状況をスコア化し、客観的な評価として第三者に開示するスコアリングサービスが普及しつつあります。あくまで、外部から見た評価ですが、先に述べたように、サンプリング検証としての役割は期待できそうです。
今後、こうしたベンダーリスクマネジメントを、効率よく、確実に行っていくことが、企業にとってますます重要になってくるでしょう。
余談となりますが、弊社では、米国 Security Scorecard社のスコアリングサービスをお客様にお勧めしています。ベンダーリスク管理のみでなく、自社内の外部サービス部門や自社グループ企業のセキュリティ状況確認にも利用出来ます。ご興味があればお問い合わせください。
しかし、対象が多数の場合、こうしたサンプリングチェックだけでも、多くの費用と労力を要することになります。こうした労力を削減する目的で、第三者的なセキュリティ格付け評価のようなものを利用することも考えられます。最近、米国を中心に、様々な企業について、インターネットに公開されている情報やサービスを中心に、外から観察した結果としてのでセキュリティ対策状況をスコア化し、客観的な評価として第三者に開示するスコアリングサービスが普及しつつあります。あくまで、外部から見た評価ですが、先に述べたように、サンプリング検証としての役割は期待できそうです。
今後、こうしたベンダーリスクマネジメントを、効率よく、確実に行っていくことが、企業にとってますます重要になってくるでしょう。
余談となりますが、弊社では、米国 Security Scorecard社のスコアリングサービスをお客様にお勧めしています。ベンダーリスク管理のみでなく、自社内の外部サービス部門や自社グループ企業のセキュリティ状況確認にも利用出来ます。ご興味があればお問い合わせください。