技術革新に伴ってビジネス連携が広範化し、企業間のつながりが多様化。つながるビジネスによって、アタックサーフェス、攻撃対象領域が広がり、セキュリティ担当者が警戒すべき領域が拡大している。
少子高齢化に伴う生産年齢人口の減少により、働き手の不足をはじめさまざまな問題が想定されている「2030年問題」。一見、サイバーセキュリティとは縁遠い話題に思えるが、実は、サプライチェーンのリスクマネジメントという観点で大きな関係があるという。
NRIセキュアテクノロジーズ(NRIセキュア)でDXセキュリティプラットフォーム事業本部 本部長を務める足立道拡氏が、「2030年問題への処方箋――持続可能な次世代サプライチェーン統制の要諦」と題し、講演を行った。
2030年問題の前に、今、企業はセキュリティの観点でどのような課題に直面しているのだろうか。NRIセキュアが日本企業1657社を対象に2023年夏に実施した「企業における情報セキュリティ実態調査」からは、セキュリティ人材の慢性的な不足、そしてサプライチェーン統制という課題が見えてきたという。
まず、「アメリカやオーストラリアとは異なり、日本では約9割の企業でセキュリティ人材が不足しています。企業規模を問わず、この傾向は変わりません」(足立氏)。一方で、人材不足を補うための業務効率化や人材確保といった施策も、リソースや予算との兼ね合いなどからなかなか実施できていない状態だ。
また、国内外の関係会社・グループ会社、そしてパートナーや委託先といったサプライチェーンのセキュリティ対策状況をどの程度把握しているかを尋ねたところ、自社から遠い組織ほど対応が難しい状況が見て取れた。一定程度は統制が取れているとはいえ、「いずれも、全体像を把握できていないと回答した割合が3割から4割を占めます」(足立氏)。特に従業員数が多く、グループ会社も100社を超えるなどサプライチェーンの対象数が多くなると、対象の絶対量が増えることが課題であることが見えてきた。
では、そもそもなぜサプライチェーン統制が必要なのだろうか。
「技術革新に伴ってビジネス連携が広範化し、分かりやすく言えば『つながるビジネス』になっていることです。企業間のつながりの多様化自体は素晴らしいことですが、ここにはリスクが伴います。また、つながるビジネスによって、アタックサーフェス、攻撃対象領域が広がり、セキュリティ担当者が警戒すべき領域が拡大しています」(足立氏)
現に、近年発生したサイバーセキュリティ被害事例を見ると、サプライチェーンの弱点が悪用されている。子会社や海外拠点のVPN機器への侵入やシステム管理者がフィッシング攻撃を受けたことをきっかけとしてランサムウェアに感染したケースがたびたび報じられ、IPAの「10大脅威」でも上位のリスクとして挙げられた。また、業務委託先・サードパーティでサイバー攻撃に起因する個人情報漏洩が発生し、その影響で数多くの委託元企業・組織が謝罪に追われることになったインシデントもあり、「2024年のセキュリティ状況を象徴する事象だと思います」と足立氏は説明した。
こうした事態を踏まえて米国でも、また日本においても、組織、さらにはサプライチェーン全体のセキュリティ統制の強化に関する法制度の整備、拡充が進んでいる。
例えば、経済安全保障の柱の1つとして、重要インフラに関わる企業や組織に対して、委託先も含めたサプライチェーン全体の統制を強化する法規制が行われたほか、「サイバーセキュリティ経営ガイドライン」の新版においても、サプライチェーン全体の統制強化の必要性が強調された。また経済産業省では2025年度から、サプライチェーン全体の対応能力の底上げを目的に、企業のセキュリティ対策を五段階で評価する「格付け制度」の実施を検討している。
グローバルなセキュリティ対策の標準とされるNISTの「サイバーセキュリティフレームワーク 2.0」においても、これまでの特定、防御、検知、対応、復旧に加え、意思決定をサポートする土台として「統治」という機能が新たに追加された。合わせて、この統治の中に「サプライチェーンリスクマネジメント」に関する項目が用意され、管理すべき要件も大幅に増えている。
次に足立氏は、講演のテーマでもある2030年問題とサプライチェーン統制の関係性について説明した。
日本社会は少子高齢化、人口減少に直面している。それに伴って労働力不足や人材獲得競争の激化、人件費の高騰と言ったさまざまな課題が浮上しており、2030年頃にいよいよ表面化すると予想されている。こうした社会問題の総称が「2030年問題」だ。
この2030年問題が、サプライチェーン統制にどのような影響を及ぼすのだろうか。
これまで、サプライチェーン統制は必要と言われながらも、リソースや予算の制約から範囲は限定的だった。「主要なグループ会社のみを対象とし、海外子会社は現地任せで、委託先管理も一部の委託先のみを対象にするという具合です。また、委託先管理プロセスも事業部ごとに独自の進化を遂げて統一されておらず、評価内容も10年前から変わっていない、といった悩みをよく伺います」(足立氏)
しかし、昨今の攻撃の高度化、そしてそれを踏まえた法規制の整備・強化を踏まえると、より広いスコープを対象に、多面的で継続的な評価を実施することが求められる。「スコープを委託先や関連会社、海外拠点まで広げ、またアンケートや質問票による評価だけなく、客観性を有した評価・格付けが求められます。そして年に一回きりではなく、サプライチェーン全般を継続評価し、性質や脅威の変化をきちんとモニタリングできることが求められます」(足立氏)
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授