サプライチェーンセキュリティの重要性とポイント

テクノロジーの進歩と合わせて、私たちの持つ重要な情報を狙うサイバー攻撃も進化し続けています。サイバー攻撃は多様化・巧妙化が進み、常に変化し続ける攻撃に対するセキュリティは欠かせません。そのようなサイバー攻撃のなかで、近年特に注意すべき攻撃の一つに「サプライチェーン攻撃」が挙げられ、その対策である「サプライチェーンセキュリティ」の重要性が増しています。
この記事では、サプライチェーン攻撃の概要から取り組みにおける注意点、強化のポイントについて解説します。

1. サプライチェーンセキュリティの重要性
2. サプライチェーンセキュリティ強化の取り組みにおける注意点
3. サプライチェーンセキュリティ強化のポイント

サプライチェーンセキュリティの重要性

サプライチェーンセキュリティは、企業規模にかかわらず大企業にとっても中小企業にとっても重要なセキュリティ対策です。サプライチェーン上の脆弱性を狙った攻撃への脅威が増しており、自社だけでなく取引先などとの連携を念頭に置いたセキュリティ対策を構築することが求められます。

自社でどれだけセキュリティ対策をしていても、サプライチェーン上の弱点を狙われてしまうと、セキュリティの網をかいくぐってサイバー攻撃が成功してしまう可能性があります。

サプライチェーン攻撃とは

サプライチェーン攻撃は、ターゲットとなる企業や組織に直接攻撃を仕掛けるものではありません。サイバーセキュリティ対策が甘い取引先や関連会社を攻撃し、それらを足がかりとしてターゲット企業に攻撃を仕掛けます。

日本ではサプライチェーン攻撃による対応が遅れており、ここ数年で脅威として強く認識されるようになったことから、サプライチェーンセキュリティの重要性が高まっています。サプライチェーン攻撃に関するより詳しい解説については、こちらの記事をご確認ください。
・日本は対応が遅い？ サプライチェーン攻撃の対策

サプライチェーンセキュリティ強化の取り組みにおける注意点

サイバー攻撃によるサプライチェーンの分断は、物資やサービスの安定供給に支障をきたします。そのため、サプライチェーンセキュリティは重要視されており、強化するためには自社だけでなく取引先や関連会社との協力が必要不可欠です。

その際に注意すべき点は、取引先などに対して優越的地位の濫用として、独占禁止法に抵触しないようにすることなどが挙げられます。例えば、取引上、優越的地位にある事業者が相手方に対してサイバーセキュリティ対策を要請し、その分のコスト上昇を考慮せず一方的に著しく低い対価を定める場合などが挙げられます。

サプライチェーンセキュリティにおける取引先とのパートナーシップの構築に関しては、経済産業省・公正取引委員会がガイドラインを公表しているため、そちらをご確認ください。

• サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて（公正取引委員会）

サプライチェーンセキュリティ強化のポイント

サプライチェーンセキュリティを強化するために、まずは自社の基本的なサイバーセキュリティ対策を見直し、強化することが重要です。自社のセキュリティ環境をチェックして問題がないか確認しましょう。

そのうえで、サプライチェーンを構築する各社で方針やセキュリティレベルを確認し合う体制を作り、お互いに協力してサプライチェーン全体のセキュリティ強化に努めます。新たに取引先として登録する場合には、契約書にセキュリティの要項を含めることも有効です。

自社だけでなく、関係各社も含めた全体的なセキュリティ環境の構築を行い、サイバー攻撃のつけいる隙をなくすことが重要です。常に最新のセキュリティ動向をチェックし、最新のセキュリティ環境を構築するようにしましょう。

経済産業省では「サイバーセキュリティ経営ガイドライン」として、経営者のリーダーシップのもとでサイバーセキュリティ対策を推進するためのガイドラインを公開しています。こちらも参考にし、自社を取り巻くの環境に対するセキュリティ対策・環境の構築を実施することが重要です。

• サイバーセキュリティ経営ガイドラインと支援ツール（経済産業省）

近年、サイバー攻撃は巧妙化・多様化が進み、自社が直接狙われるとは限りません。取引先や関連会社を足がかりにサイバー攻撃を行う「サプライチェーン攻撃」は、ここ数年で脅威として強く認識されるようになりました。

サプライチェーン攻撃に対しては、サプライチェーンセキュリティが有効です。自社だけでなく、取引先・関連会社との連携を念頭に置いたセキュリティ対策が求められており、今後はその重要性はより増すことでしょう。

しかし、常に状況が変化し続けるセキュリティ動向について、適切な対応を続けるためには専門的な知識・スキルが必要です。自社だけでなく、関係各社との連携まで念頭に置いた適切なセキュリティ対策を実施するためには、セキュリティのプロの存在が欠かせません。

日立ソリューションズ・クリエイトでは、サイバーセキュリティインシデントに対する事業継続を支援する「サイバーセキュリティコンサルティング」を提供しています。サイバーセキュリティのスペシャリストである「ホワイトハッカー」がコンサルティングを実施し、サプライチェーンセキュリティも含め、平時対応から有事対応まで幅広く対応しています。

ホワイトハッカーについては知りたい方には以下の記事もおすすめです。

• ホワイトハットハッカーに聞く「セキュリティに関する無理解」の怖さとは
• ホワイトハッカーとは？ クラッカーやブラックハットハッカーとは違うの？

「サイバーセキュリティコンサルティング」の詳しい説明やお問い合わせはこちらから

• サイバーセキュリティコンサルティング