近年サプライチェーンへの攻撃が増加し、社会基盤を揺るがすような事件も発生するなど、セキュリティリスクの影響の大きさに注目が集まっています。企業や国境の壁を越えたサプライチェーン・ネットワークが広がる現在、リスクを最小化して企業活動を維持するためにはセキュリティの視点が欠かせません。脅威の種類や被害を食い止めるための対策について、野村総合研究所(NRI)の寺坂和泰とNRIセキュアテクノロジーズの山口雅史の二人が語ります。
サプライチェーンはサイバー攻撃の格好の標的
サプライチェーンを取り巻く脅威とはどのようなことでしょうか?
寺坂:サプライチェーンが企業や国境の枠を越えて広がると同時に、デジタル化の進展によってモノと情報がつながるインターフェースが増加していますが、これは悪意を持つ者にとって攻撃できる対象が増えることを意味します。ここ数年、サプライチェーン上の弱点を突くサイバー攻撃が急増しており、アメリカでは石油パイプラインの一拠点の脆弱性を突かれて石油の供給がストップするという大きな事件が起きましたし、日本企業でも海外拠点のネットワーク機器から侵入され、本社の情報が暗号化されて身代金を要求されるということがありました。
サプライチェーンそのものの毀損や情報漏えいのほか、生産・販売する製品に不具合が埋め込まれるリスクにも気を配る必要があります。例えば、ある電子部品の供給を依頼している委託先がサイバー攻撃を受けて部品に組み込まれるソフトウエアにバックドアが仕掛けられ、そこから情報が漏れる可能性や、エンジンの出力を制御するソフトウエアが書き換えられることで事故につながる可能性など、デジタル時代ならではの脅威が存在します。
山口:DXの加速化によってサプライチェーンもすべてITでつながるようになったため、その一カ所にでもほころびがあると、かつては考えられなかった規模でのセキュリティインシデントによる影響がありえます。わたしたちはリスクの種類を大きく2つに分けており、一つは「グループ会社・委託先を含めて情報システム環境が攻撃され、本社まで被害が拡大する」ケース、もう一つが「サプライヤーが開発・納入した製品がサイバー攻撃の対象になる」ケースです。
潜在化しているリスクを洗い出すデジタルサプライチェーン
どのように対応すればよいのでしょうか?
山口:ポイントは2つあります。一つは、つながっているサービスやシステム全体においてどのようなリスクがあって、そのリスクに対してどのような対応をすればよいのかを可視化し、それぞれの脆弱性を解決していくことです。
もう一つは、委託先も含めて、提供されるソフトウエアや機器などに対してリスクや脆弱性がないかどうかチェックしてから受け入れるセキュリティゲートの導入です。プロダクトライフマネジメントの一環として、そのようなセキュリティチェックが必要だと考えます。
管理工数が増えることについては、どう考えればよいでしょうか?
寺坂:事故が起きた時のインパクトを分析する考え方が必要です。例えば製造業のサプライチェーンであれば、その製造ラインがストップした場合の1日あたりのサプライチェーン全体の損害額を可視化計算することで、対策の重要性に気づいていただけるのではないでしょうか。
設備なら設備、サーバーならサーバーと、個別のセキュリティ対策は当然どの企業も行っていますが、サプライチェーンのリスクが顕在化した時の影響範囲の広さについて気づかれている企業はまだ少ないと感じています。わたしは「デジタルサプライチェーン・マネジメント」を専門にしていますが、これは物理的なサプライチェーンをサイバー空間上にモデル化(デジタルツイン)して全体像を可視化し、最適化シミュレーションによって理想的なネットワークやオペレーションを備えたサプライチェーンを実現しようとするものです。この技術を応用し、製造から物流、自社工場から委託先~再委託先までの広義のサプライチェーンを横断的に分析して、潜在化しているリスクを洗い出したり、リカバリーコストも含めた影響額を推定したりすることで、企業の意思決定の一助となるようなご支援を行っています。
サプライチェーンの高度化を通じて、つながる社会の安全・安心に貢献
企業は何から始めればよいか教えてください。
山口:大前提として、企業の経営者が、サプライチェーンにおけるセキュリティリスクを経営リスクとして捉えることが重要だと考えます。世界経済フォーラムが毎年発行するグローバルリスクレポートにおいても、セキュリティリスクによる経営へのインパクトはトップ10に入るトピックであり、北米を筆頭にサプライチェーンのセキュリティ対策に力を入れ始めています。
日本企業は、セキュリティというと機器の導入などの技術面に寄りがちなところがありますが、ガバナンスを効かせるための管理面との両輪でバランスのとれた施策が必要でしょう。また、どんなに注意していてもセキュリティインシデントの発生をゼロにすることは不可能なことを前提に、発生後の対応について経営層も巻き込んで準備しておくことも必要です。
最後に、NRIグループができること、貢献したいことをお聞かせください。
山口:日本の企業間連携は信頼関係で成り立っている側面がありましたが、現在もまだまだ性善説的な対応が続いている状態です。長く付き合いのある会社だから、日本の企業だから、という理由だけで、「まあ大丈夫だろう」とリスクを考慮しないケースもめずらしくありません。しかし、かつては思いも寄らなかったようなリスクが存在するデジタル時代には、お互いに脆弱性があるものと認識しあって付き合うことが大切です。わたしたちは、サプライチェーンセキュリティをより高度化することで、つながる社会の安全・安心を実現していきます。
寺坂:企業がDXに邁進しているのは、デジタルを使うことで飛躍的な成長が可能だからです。しかし裏を返せば、リスク面でも想像をはるかに超えた脅威にさらされる危険性があるということです。わたしたちはデジタルの力を使ってお客さまの成長をご支援すると同時に、それが持続可能な成長となるようにセキュリティ面での対策もとりながら、サプライチェーンの高度化に貢献していきたいと考えています。
