サプライチェーンリスクとは、従来は、製品・サービスが原料の段階から消費者に届くまでの全過程においてプロセスが途絶えたり、滞ることで、供給の流れが止まってしまうことを指していました。自然災害などに起因する物理的なリスクが中心的なテーマでした。
情報技術やデジタルサービスが企業活動や個人の生活に広く普及する今日の社会においても、それらの設計、調達、開発、供給等の一連のエコシステムに関わるサードパーティを含めたサプライチェーンのリスクへの備え・対応が重要となってきています。
情報技術やデジタルサービスにおけるサプライチェーンリスクには、オペレーション、コンプライアンス、財務、地政学等の様々なリスクがありますが、ここでは、サイバーセキュリティリスクに着目したサプライチェーンリスクについて解説します。
情報技術やデジタルサービスのサプライチェーンはグローバル化・複雑化が進んでおり、また、日々高度化・巧妙化するサイバー攻撃に晒され、サプライチェーン全体を守り、サイバー攻撃への対策も非常に難しくなってきています。
サイバー攻撃からサプライチェーン全体を守るにはサプライチェーン全体にわたって高度なサイバーセキュリティ対策を行い、そのガバナンスを維持する必要がありますが、サイバーセキュリティ対策のレベルは、通常、企業ごとに異なります。そして、近年、サイバーセキュリティ対策が不十分な企業を狙った「サプライチェーン攻撃」とその被害があとを絶ちません。
たとえ、自社のサイバーセキュリティ対策を万全に行っていたとしても、その対策が不十分なサプライヤー(サードパーティ)が踏み台となり、標的型攻撃やランサムウェアなどの被害に巻き込まれる可能性があります。また、対策が不十分なグループ会社や業務委託先企業から個人情報など重要情報が漏洩してしまう可能性もあります。
さらには、意図せず脆弱性やバックドアが組み込まれたOSS等のソフトウェア部品を利用して(組み込んで)自社のデジタルサービスを提供してしまい、そこからサイバー攻撃を受けランサムウェアなどの被害を受ける可能性もあります。
このような事態・サプライチェーンリスクに備えるためには、自社だけでなく、デジタルサービスに関わるサプライチェーン全体で、サイバーセキュリティ対策を強化することが求められています。