サイバー攻撃が狙う企業間取引のセキュリティ対策とは?
あなたの会社のセキュリティ対策は、近年高度化するサイバー攻撃に対して「万全」と言い切れますか? そして、自社の防御がどれほど強固であったとしても、すべての取引先まで含めて「万全」と言えるでしょうか?
今日の企業活動は、多数の取引先と複雑に連携したサプライチェーン上に成り立っています。この広範な協力体制は、効率性と競争力の源泉である一方、サイバーセキュリティの観点からは新たなリスク要因のひとつとなりつつあります。
近年のサイバー攻撃者は、防御が強固な大手企業を直接標的とするのではなく、セキュリティ対策が十分とは言えない取引先(サプライヤー)など、サプライチェーン上の弱点を主な標的としています。このような攻撃は「サプライチェーン攻撃」と呼ばれ、一度侵入を許すと、被害が連鎖的に拡大し、サプライチェーン全体に甚大な影響を及ぼす可能性があります。
日本国内の企業にとって、こうした脅威への対処は喫緊の課題です。長年培われてきた性善説的な信頼関係に基づく商習慣や、取引先企業におけるセキュリティ投資の遅延が、結果として攻撃者にとって有利な環境を生み出している側面も否定できません。
本記事では、深刻化するサイバー攻撃の脅威に対し、サプライチェーン全体でいかにセキュリティを確保し、事業継続性を維持すべきかについて解説します。
サイバー攻撃の観点から見る日本企業特有の構造的リスク
1. 企業間のセキュリティ・ギャップの深刻化
日本のサプライチェーンは、ピラミッド型の多層構造を持つことが多く、最終製品を製造する大企業を頂点とし、その下に多くのサプライヤーが連なっています。しかし、とりわけ中小規模のサプライヤーでは、セキュリティ対策に十分な予算や専門人材を確保できていない場合が少なくありません。
経済産業省の調査でも、大企業とサプライヤーの間には、セキュリティ対策の実施状況に大きな差があることが示されています。このような企業間のセキュリティ・ギャップは、サプライチェーン全体のセキュリティレベルを引き下げる要因となっています。
攻撃者はこうした状況を把握したうえで、防御が強固な大企業ではなく、対策が手薄な中小規模のサプライヤーを足がかりとして侵入します。一度侵入されると、サプライヤーの機密情報や認証情報が窃取され、ネットワークを介して大企業側へと攻撃が拡散してしまうのです。
2. 性善説的な信頼関係に基づく取引慣行の危険性
日本の商習慣では、長年にわたる取引を通じて培われた「信頼」が重視されてきました。この信頼関係はビジネスを円滑に進めるうえで重要な要素ですが、セキュリティリスクの評価においては盲点となることがあります。
「長年の取引先だから安全だろう」という性善説的な判断は、セキュリティリスクの評価を誤る原因になりかねません。
サプライヤーの選定や契約更新の際には、過去の取引実績だけでなく、客観的なセキュリティ評価を行うことが重要です。主観的な判断をしてしまうと、潜在的な脆弱性を見過ごしてしまう可能性があるため、注意が必要です。
3. DX推進に伴うクラウドサービス利用拡大のリスク
デジタルトランスフォーメーション(DX)の推進に伴い、多くの企業がクラウドサービスやSaaS(Software as a Service)の利用を加速させています。
クラウドは便利な反面、サービス提供側の設定ミスや、利用企業側のアクセス管理の不備などが、新たな攻撃経路となることがあります。特に、サプライチェーン内の複数企業が同一のクラウドサービスを利用している場合、一つの脆弱性が連鎖的に多くの企業へ影響を及ぼすリスクが高まります。
サプライチェーン全体を守るための戦略と継続的なモニタリング
サプライチェーン攻撃のリスクを低減し、強靭な事業基盤を築くためには、自社のみを対象とした従来型のセキュリティ戦略から脱却する必要があります。これからは、サプライチェーン全体を視野に入れ、取引先などと連携してリスクに備える「連帯防御」の考え方が、これまで以上に重要となります。
〇取引先のセキュリティ評価の厳格化
取引先との取引を開始・継続するにあたっては、セキュリティリスクを客観的な指標に基づいて評価することが重要です。例えば、次のような取り組みが考えられます。
- 取引の開始・継続をする前に、アンケートや現地監査に加え、外部から観測可能なセキュリティ状態を評価するツールを導入し、定量的なリスクスコアに基づいて評価する
- すべての取引先を一律に管理するのではなく、アクセスする機密情報のレベルや、事業継続への影響度に応じて、管理レベルを変える「リスクベース・アプローチ」を採用する
〇継続的な外部リスク監視(モニタリング)の導入
取引先のセキュリティレベルは、常に変化します。セキュリティ対策の遅れ、新たな脆弱性の発見、設定ミスなどは、その企業でも日常的に起こり得るものです。
そのため、初期評価だけで終わらせるのではなく、継続的かつリアルタイムにサプライヤーの外部セキュリティリスクをモニタリングする体制が求められます。
具体的には、外部評価スコアを自動で収集・分析し、リスクレベルが一定の基準を超えた場合にアラートを発する仕組みを整えることが有効です。これにより、サプライヤーが深刻なインシデントに巻き込まれる前に、予防的な対応を促すことが可能となります。
連帯防御の時代と客観的なリスク可視化の必要性
サプライチェーンのセキュリティリスクは、単なるIT部門だけの課題ではありません。企業の事業継続を左右する経営リスクのひとつです。現代のサイバー攻撃からビジネスを守るためには、自社の防御を強化するだけでなく、取引先などを含めた連帯防御という考え方が不可欠です。
一方で、多くの企業では、この連帯防御を実現するための仕組みや手段が十分に整っていません。何百、何千という取引先に対し、個別にセキュリティアンケートを送り、その回答を手作業で分析する従来の方法では、刻々と変化するリスクに対応しきれない場面が増えています。
さらに、アンケートによる評価は、回答者の自己申告に依存するため、情報が主観的になりやすく、真のリスクを客観的に把握することが難しいという課題もあります。
企業が真に強靭なサプライチェーンを構築するためには、次の三つの要素が欠かせません。
- 客観性:自己申告ではなく、外部から観測可能なデータに基づくリスク評価
- 継続性:取引先のセキュリティ状態を継続的かつリアルタイムに把握するモニタリング
- 可視化:リスクをスコア化し、経営層から現場まで共通の指標として活用すること
これからの時代、サプライヤーとの信頼関係は、経験や習慣だけで成り立つものではありません。客観的なセキュリティスコアによって裏付けられることが求められます。
では、数百〜数千のサプライヤーのリスクを、どのように効率的かつ客観的に把握し、管理すればよいのでしょうか?
こうした課題を解決するために開発されたのが、取引先のセキュリティリスク可視化・管理のためのプラットフォームです。このプラットフォームを活用することで、サプライチェーン全体のセキュリティリスクを継続的かつタイムリーに把握することが可能となります。
まとめ
サプライチェーン全体のセキュリティを確保するためには、従来の自社中心の防御から脱却し、取引先を含めた連帯防御の戦略へと転換することが重要です。
客観的なリスク評価、継続的なモニタリング、そしてリスクの可視化を通じて、企業はサプライチェーン全体のセキュリティ状況を正確に把握し、適切な対策を講じることが可能になります。こうした取り組みは、サイバー攻撃の脅威に対する耐性を高めるだけでなく、事業継続性の向上や、企業としての信頼性強化にもつながります。
結果として、変化の激しい時代においても、強靭な事業基盤を築き、企業の持続的な成長を支える土台となるのです。
電通総研は、セキュリティ・リスク・スコアリングシステム「SecurityScorecard」(セキュリティスコアカード)と、サプライチェーンセキュリティリスク管理システム「Panorays」(パノレイズ)の提供を通じて、企業のサプライチェーンリスク対策を支援しています。各ソリューションの詳細については、以下をご参照のうえ、ぜひお気軽にお問い合わせください。
セキュリティ・リスク・スコアリングシステム「SecurityScorecard」
https://security.dentsusoken.com/ssc/
サプライチェーンセキュリティリスク管理システム「Panorays」
https://security.dentsusoken.com/panorays/
https://security.dentsusoken.com/ssc/
サプライチェーンセキュリティリスク管理システム「Panorays」
https://security.dentsusoken.com/panorays/
