マイページ
店舗・代理店検索
- ホーム
- 法人のお客さま
- リスクソリューション
- リスク・課題から探す
- リスク・課題情報(1)
- リスク・課題
サイバーセキュリティはサプライチェーン全体の包括的な管理が求められる時代
昨今、企業を取り巻くサイバーセキュリティ環境は、攻撃の巧妙化・高度化によりますます厳しさを増しています。特に、自社だけでなく、グループ会社(海外拠点含む)やサプライヤー(特に中小企業)といったサプライチェーン全体のサイバーセキュリティリスクを包括的に管理することの重要性が、強く認識されるようになりました。
こうした状況を受け、経済産業省では、サプライチェーン全体のセキュリティレベル向上を目的とした新たな評価制度の構築に向けた検討が進められています。
日本企業においては、本社は高度なサイバーセキュリティ対策を講じている一方で、国内・海外の各拠点やグループ会社、サプライヤーは独自にシステムを運用していることも多くあります。サイバーセキュリティに対する意識やビジネス上の優先順位が異なることから、足並みが揃わないなどで統制が取れず、そこを起点として情報漏洩や改ざんなどの被害に遭う危険性が高まっています。
本社の目が届かない脆弱なサイバーセキュリティを突破されるリスク
日本企業のサイバーセキュリティリスクは日々高まっており、攻撃手法や被害が多様化・増加の一途を辿っています。
特に最近では、大企業と国内各拠点やグループ会社(海外拠点含む)、サプライチェーンとの相互依存関係の弱点に目を付け、直接大企業の本社を狙うのではなく、サイバーセキュリティ対策が手薄な国内各拠点やグループ会社(海外拠点含む)、サプライヤー(特に中小企業)を狙う攻撃が増加傾向にあります。
その理由として、大企業では本社については高いサイバーセキュリティ基準を実装している一方で、国内各拠点やグループ会社(海外拠点含む)、サプライヤー(特に中小企業)とのサイバーセキュリティの取り組みに落差が生じているケースが多いことが挙げられます。
こうした状況下では、本社の目が届かない国内各拠点やグループ会社(海外拠点含む)、サプライヤー(特に中小企業)の脆弱な箇所が狙われ、そこを起点に本社が持つ重要な情報に接触され漏洩・改ざんなど悪用される危険性があります。
「深刻化するサプライチェーンリスク」
IPA『情報セキュリティ10大脅威』をもとにSOMPOリスクマネジメント作成
出典:https://www.ipa.go.jp/security/10threats/index.html
また、攻撃者に接触された情報、例えば顧客のID・パスワードなどは、「ダークウェブ(闇サイト)」と呼ばれる、特殊なブラウザを要し一般的なユーザーがアクセスしないような領域で売買される可能性もあります。
ガバナンス強化を阻む『現場任せ』の慣行と組織・制度の課題
日本の大企業のサイバーセキュリティの取り組みは、本社のITセキュリティ部門が国内各拠点やグループ会社(海外拠点含む)、サプライヤー(特に中小企業)を含めた全体的なサイバーセキュリティ対策を担っていることが多く、本社側で全てを把握・管理することは難しい状況にあります。
それにより、例えばこんな課題が考えられます。
グループ会社にサイバーセキュリティに関する調査票を送付したが…
- そもそも回答が返ってこない
- 形骸化してしまい回答内容が実態を反映しているか不明
こうしたことから、グループ全体の実態に沿ったサイバーセキュリティ状況を網羅・把握すること自体が難しく「どこに最も大きなリスクが潜んでいるのか」「どこから優先的に手を付けるべきか」が判断できないという課題を抱えてしまうこともあります。
サプライヤー(特に中小企業)に重大な脆弱性が見つかり改善を促したが…
- 外部のITベンダーに一任しているので対応方法がわからない、対策にかかる費用が捻出できないといった理由で現状維持を求められる
- 相互の事情を尊重する商習慣や下請法改正への配慮から、サプライヤーへの強い要求が「不当な押し付け」と見なされる
- 大企業からサプライヤーに対する支援を行うにもリソースの限界があり、膨大にあるサプライヤーの管理基準をどう定めるか検討が必要
こうしたサプライヤー管理の難しさは、多くの企業にとって共通の課題です。この状況を背景に、経済産業省ではサプライヤーのセキュリティレベルを客観的に評価する新たな制度の検討を進めています。この制度は、発注側と受注側が対策レベルの共通認識を持つための「ものさし」となることが期待されており、今後の動向が注目されます。
日本ならではの大企業の組織や制度にも課題が
グローバルでは内部調査・外部調査を組み合わせた「サイバーリスクスコアリング(360度評価)」がスタンダードになりつつありますが、これにはサプライチェーンのサイバーセキュリティ管理を「サプライヤーのプロフィール(業務内容)、取引度合い(ビジネス依存度)、契約内容(SLA含む)等を理解、把握している調達部門を筆頭に置き、それを陰からIT部門とセキュリティ部門がサポートする」といった形で連携して、包括的に取り組むことが求められます。
しかし日本の大企業では、
- サプライヤーを管理する観点から、基本的に調査の回答は調達部門が担当
- IT領域という観点から、脆弱性を評価する調査はIT・セキュリティ部門が担当
というように、同じサイバーセキュリティ調査であっても別部門に分かれてしまい、連携が図れなくなっていることが多くあります。
サプライチェーンも含めた体制整備、仕組み構築、継続のための負荷軽減の必要性
こうした課題を解決し、サイバーセキュリティリスクを軽減していくには、国内各拠点やグループ会社(海外拠点含む)、サプライヤー(特に中小企業)も含めた企業全体を客観的な指標に基づいて網羅的に可視化し、サイバーセキュリティの品質を維持・向上させる下記のような仕組みが必要になってきます。
・契約時のリスク評価
評価・選定プロセス、セキュリティチェックリスト、デューデリジェンス、業務内容確認など
・管理基準の策定
サードパーティの定義、分類基準、管理対象範囲、リスク分類
・セキュリティ基準の明示
SLA、セキュリティ要求事項、脆弱性管理ルールなど契約書記載
・継続的モニタリング
定期的なリスク評価(アンケート、スコアリングツール)、脅威検知、監査の実施
・契約終了対応
データ消去、アクセス権削除、秘密保持義務の確認など
・インシデント対応連携
連絡体制の構築、合同訓練、共有責任の明確化など
・責任と役割の明確化
責任の所在、管轄部門、最終承認者(CISO/情報セキュリティ部門/調達/ITセキュリティ)
先の通り、大企業とそのサプライヤーのみでこれだけの仕組みを整え、運用していくにはリソースの限界もあります。サプライヤー向け対策支援など、マネージドサービス利用による業務負荷の軽減も検討したいところです。
サプライヤー(特に中小企業)側も積極的に取り組みを進めたくなる仕掛けを
もちろん仕組みを取り入れるだけではなく、発見された課題に対して、国内各拠点やグループ会社(海外拠点含む)、サプライヤー(特に中小企業)と協力しながら改善を進めていく企業側の取り組み姿勢も重要です。
「対応したいがやり方がわからない」のであればサポートもできますが、責任者が「本当に必要なのか?」と首をひねっているままでは、サイバーセキュリティ対策は遅々として進みません。アンケートによるサイバーセキュリティ調査票も、実情とかけ離れた当たり障りのない回答内容に終始するといったこともあるでしょう。
そこで例えば、進んでサイバーセキュリティ対策に取り組んだ拠点やサプライヤーを表彰して信頼できるパートナーと見なすなど、積極的に取り組みを進めたくなるような仕掛けも考えていかねばなりません。
こうした仕組みや仕掛けを整えるためには、国内各拠点やグループ会社(海外拠点含む)、サプライヤー(特に中小企業)を含む広範囲のサイバーセキュリティを守る仕組みに精通し、また海外拠点を踏まえてグローバルなコミュニケーションも支援できるパートナーを確保しておきたいところです。
- (注)2025年9月8日時点の情報をもとに作成しております。
