EN

NRIセキュア ブログ

サプライチェーンリスク管理の重要性|情報は「委託先」から漏れる

目次

    2019.08.06デジタルトランスフォーメーション(DX)やビジネスのグローバル化に伴い、サプライチェーンリスクマネジメントの重要性が高まっています。サプライチェーンとは、ITにおけるシステム開発やサービス提供に関する業務の外部委託の連鎖を指し、サプライチェーンに影響を与える様々なリスクの管理手法をサプライチェーンリスクマネジメントと呼びます。


    従来はBCP(事業継続計画)の観点に重きが置かれていたサプライチェーンリスクマネジメントですが、近年多くの組織で情報セキュリティに関するインシデントが発生しており、サプライチェーン全体でのセキュリティ対策・管理は欠かせないものとなっています。
     本記事では、サプライチェーンリスクマネジメントに関する世の中の動向、日本企業の対応状況とインシデント事例、対応のポイントについて解説します。

     

    サプライチェーンリスクマネジメントに関する世の中の動向

    日本では、IPAが毎年発表している「情報セキュリティ10大脅威」の2019版において、「サプライチェーンの弱点を悪用した攻撃の高まり」が初ランクインしました。また、2017年に改訂されたサイバーセキュリティ経営ガイドラインv2.0でも、「ビジネスパートナーや委託先企業も含めたサプライチェーン全体でのセキュリティ対策の必要性」を強く訴えています。


    海外では、米国国立標準研究所(NIST)が公開するセキュリティフレームワークのCSF(サイバーセキュリティフレームワーク)が2018年にバージョン1.1に改訂された際、サプライチェーンリスクマネジメントの項目が大幅に強化されました。

     

    サプライチェーンリスクマネジメントに関する世の中の動向-1

    政府機関や行政機関が発表するガイドラインや動向調査の結果が示す通り、サプライチェーンリスクマネジメントの重要性は今後更に高まっていくと予想されます。

    サプライチェーンリスクマネジメントに対する日本企業の対応状況

    しかし、日本企業におけるサプライチェーンリスクマネジメントへの対応が思うように進んでいないことを、IPAの調査(ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査)が示しています。

    *https://www.ipa.go.jp/security/fy29/reports/scrm/index.html

    情報通信業以外の委託元は過半数が、実施すべき情報セキュリティ対策を仕様書等で委託先に明示していない。特に、製造業では71.1%、卸売・小売業で74.2%が明記しておらず、顕著。

    委託先が実施すべき具体的な情報セキュリティ対策の仕様書等での明記

    図. 委託先が実施すべき具体的な情報セキュリティ対策の仕様書等での明記(委託元、業種別<N=10以上のみ>)(IPAの報告書より抜粋)

     

    委託先企業が意識的にセキュリティ対策を行うことはもちろん重要ですが、委託元企業が委託する業務の内容を踏まえて必要なセキュリティ対策を具体的に指示することが、サプライチェーンリスクマネジメントの観点では求められます。なお、委託先企業が最低限実施すべきとして仕様書等に明記するセキュリティ対策の上位には、「インシデント発生時の適切かつ迅速な初動対応、報告の実施」、「重要な情報の利用、保管、持ち出し、消去、破棄等に対する取扱い手順の規定」等が選ばれています。

    業務委託の契約における課題として、委託元、委託先の回答企業ともに「情報セキュリティ上の責任範囲(責任分界点)がわからない」が委託元(54.5%)、委託先(44.7%)とも最も大きな課題として挙げられている。

    委託先との契約における情報セキュリティの観点での課題(委託元)

    図. 委託先との契約における情報セキュリティの観点での課題(委託元)(IPAの報告書より抜粋)

     

    委託元との契約における情報セキュリティの観点での課題(委託先)

    図. 委託元との契約における情報セキュリティの観点での課題(委託先)(IPAの報告書より抜粋)

     

    情報セキュリティ上の責任範囲が定められていない場合、委託元、委託先のどちらが担当かの判断がつかない領域が原因でインシデントが発生した場合、どちらに責任があるかを決めることが難しくなります。

    委託元の15.4%で委託先におけるインシデントを経験しており、2.8%で再委託先以降におけるインシデントを経験している。

    業務委託(委託先または再委託先以降)における過去3年間のインシデントの経験(委託元)

    図. 業務委託(委託先または再委託先以降)における過去3年間のインシデントの経験(委託元)(IPAの報告書より抜粋)

     

    インシデントの内容(委託元)

    図. インシデントの内容(委託元)(IPAの報告書より抜粋)

     

    日本企業の約15~20%はサプライチェーンを起因としたインシデントを経験しているという結果でした。そもそもサプライチェーンリスクマネジメントを適切に行えていない企業はインシデントを把握することができない可能性もあるため、実際にはより多くの企業でサプライチェーンを起因としたインシデントが発生しているのではないかと推察されます。

     

    なお、委託先企業のインシデントにより委託元企業が受ける被害としては、「システム・サービスの障害・遅延・停止」が74.4%で1位で、「情報漏えい・暴露」は16.7%でした。

    サプライチェーンを起因としたインシデント事例

    では、サプライチェーンを起因としたインシデントとは、具体的にどのようなものでしょうか。サプライチェーンを起因としたインシデントは、大きく「内部不正」、「操作ミス」、「不正アクセス」の3つに分類することができます。

    事例1:内部不正

    サプライチェーン_内部不正1

     

    事例1では、顧客情報の管理をグループ会社に委託したところ、システム保守部分に関しては別企業へ再委託されている状態となっていました。再委託先企業の従業員が外部記憶媒体経由で顧客情報の持ち出しが可能なことに気が付き、その後数十回にかけて顧客情報の持ち出しと業者への販売が行われていました。

    内部不正に関するその他事例としては、不正に取得した顧客情報を用いてキャッシュカードを偽装し、顧客の口座から不正に現金を引き出した等があります。

    事例2:操作ミス

    サプライチェーン_操作ミス

     

    事例2では、顧客情報の管理を委託された企業が、AWSのストレージサービスであるS3上で顧客情報を管理していたところ、設定ミスによりURLさえ分かれば誰でも顧客情報にアクセス可能な状態となっていました。

    操作ミスに関するその他事例としては、委託元企業のスマートフォンアプリのプレゼントキャンペーンの当選者に対し、委託先企業が他の当選者のメールアドレスを宛先に表示させてメールを送信してしまった事例等があります。

    事例3:不正アクセス

    サプライチェーン_不正アクセス

     

    事例3では、委託先企業のシステム経由で自社の社内システムに不正アクセスされ、従業員のメールアドレス等の個人情報が漏えいした可能性があります。

    不正アクセスに関するその他事例としては、委託元企業の顧客情報を扱うシステムが不正アクセスされ、顧客情報が数千件漏えいした事例等があります。

    サプライチェーンリスクマネジメントのポイント

    以上、事例からわかるのは、「大企業や大手企業は自社だけを守っているのでは不十分で、業務で繋がる全ての従業員やシステムについてもリスクマネジメント対象とする必要がある」ということです。

     

    この認識は、セキュリティ対策の考え方の一つである「The strength of a chain is in the weakest link(鎖の強度は最も弱い環で決まる)」に繋がります。

     

    自社や大部分の委託先のセキュリティ対策が十分な水準だったとしても、どこか一社の委託先のセキュリティ対策が十分でなかった場合、サプライチェーン全体でのセキュリティ対策レベルは高いものではなくなってしまいます。

    サプライチェーンにおける環1

    図. NRIセキュアが作成

     

    そのため、委託元企業は、委託先企業の選定時にセキュリティの観点を加えること、また委託先企業のセキュリティ対策状況を定期的に評価することで、信頼できる企業に業務を委託することが重要です。加えて、インシデントが発生してしまった場合を想定し、契約書上で委託元企業と委託先企業の責任範囲を明確化することや、インシデント発生時の一定期間以内の通知を義務付けることなども有効です。

     

    以下記事では、効果的なサプライチェーンリスクマネジメントのポイントをまとめていますので、是非ともご参照ください。


    委託先管理の3つのポイント|効率的かつ効果的な「あるべき姿」とは?

    効率的なサプライチェーンリスクマネジメントの実現へ

    一昔前に比べると、セキュリティリスク管理を経営レベルの課題と捉え、セキュリティ対策を推進する企業は着実に増えている印象を受けます。

     

    一方で、サプライチェーンリスクマネジメントの実現に関しては、以下のような課題を抱えるセキュリティ担当者も多く見受けられます。

     

    サプライチェーンリスクマネジメントの課題3

    Secure SketCHの有料プランである「GROUPSプラン」では、Secure SketCHの評価対象を、自社だけからサプライチェーン、またはグループ全体に拡大させることができます。委託元企業はSecure SketCHの統合ダッシュボード画面(下図参照)で、委託先企業各社のSecure SketCHによる評価結果・スコアや、サプライチェーン全体の平均スコアを確認・管理することが可能です。

     

    サプライチェーンや企業グループ全体のリスクマネジメントを実現1

    図. Secure SketCH GROUPSプランによるリスクマネジメントイメージ

     

    Secure SketCH GROUPSプラン」の「統合ダッシュボード機能」画面(イメージ)1

    図. Secure SketCH GROUPSプラン 統合ダッシュボードの画面イメージ

     

     

    GROUPSプランではプラットフォームの活用により、前述した課題を解決し、継続的なセキュリティリスク管理を低い業務負荷、かつ低廉なコストで実現できます。

     

    GROUPSプランによる解決2

     

    繰り返しとなりますが、まずはリスク管理の範囲を自社からサプライチェーン全体に広げることが重要です。今後更に重要性が高まるサプライチェーンリスクマネジメントの実現の第一歩として、是非、Secure SketCHをご活用ください!

     

    Secure SketCH GROUPSプランの資料ダウンロードはこちらから!

    CTA_groups-plan-explanation-materials