連鎖するサイバーリスク：サプライチェーンのリスク管理

極めて深刻な影響

2023年11月、オーストラリアで港湾運営会社 DPワールドへの大規模なサイバー攻撃が発生し、同社は翌日午前9時にオペレーションが再開できる一時的な停止を行なっている。その影響でオーストラリア全体のコンテナを移動させるための およそ4割の能力が失われ、シドニー、メルボルン、ブリスベン、パースでは約30,000のコンテナが積み上がった状態に陥った。クリスマスのショッピングシーズン直前という時期に発生したため、輸入業者や小売業者、そして消費者にとって大きな影響を及ぼすこととなってしまった。サプライチェーンの重要性が高まるなか、サイバー攻撃が社会に深刻な影響を及ぼしている。

2017年にデンマークで発生した海運会社マースクへのサイバー攻撃では、同社のシステムやデータセンターが破壊されたことで、船積みや輸出入業務を手動で行わざるをえず、世界中の港での業務に混乱を生じさせている。ここでも同社の顧客である多くの企業が影響を受け、商品の配送に遅れが生じるなど、国際的な物流におけるサプライチェーンの、サイバー攻撃に対する脆弱性を示すこととなった。そして、数百億円にものぼる経済的損失も発生したと考えられている。

また、2021年に米国で発生したコロニアルパイプラインへのサイバー攻撃では、米国最大の燃料パイプライン事業者の一つが標的となったことから東海岸の燃料供給に大きな混乱が生じ、ガソリン価格の上昇や一部地域での燃料不足を引き起こすこととなった。航空会社は燃料を節約するために飛行ルートの変更まで余儀なくされている。^[1]　　このインシデントは、サイバーリスクが国家レベルのエネルギー供給に及ぼす影響を示し、経済安全保障に対する新たな脅威として認識される出来事にもなった。^[2]

これらの事例からも、グローバルに構築されたサプライチェーンがサイバー攻撃によって、極めて深刻な影響を受ける可能性があることは明らかだろう。サプライチェーンが攻撃されると経済活動の麻痺だけでなく、社会全体への影響も及ぶことになる。更に、サイバー攻撃の対象が重要なインフラや国際的な物流に関わる企業であれば、その影響はより大きなものとなる恐れさえある。

新たな脅威の出現

サプライチェーンは、ITによるグローバルでの相互接続性向上やサードパーティーのベンダーやパートナーとの相互依存などによって、多くの企業にとって不可欠な要素となっている。同時に、その複雑性と広範なネットワークはサイバーリスクの発生源ともなり得るため、新たな脅威の出現などによってサイバーリスクに晒されている。

例えば、悪意ある者は標的とする組織を直接狙わずとも、セキュリティ対策が比較的手薄な関係組織を踏み台としたり、幅広く使用されているソフトウェアやハードウェア、サービスのサプライヤーを侵害することでそのユーザー企業に影響を及ぼしたりといったサイバー攻撃を行うことができるからだ。

グローバルでの相互接続性がおよぼすサイバーリスクについて考えてみると、一箇所で発生したサイバー攻撃が瞬時に世界中のビジネスに影響を及ぼす可能性を生み出すことがわかる。これは、上述した事例からも明らかだろう。IoTデバイス、クラウドベースのシステム、自動化された工程などサプライチェーンのIT化は効率化とコスト削減をもたらしたが、同時にリスク同士の道後接続性も向上させたのだ。そのため、接続された世界中のパートナー、サプライヤー、顧客などが相互に潜在的な攻撃の入り口となる可能性を持っている。

しかしながら、サプライチェーンがサイバーリスクを招くかもしれないと理解してはいても、サプライチェーンの複雑性がリスクの特定と管理を困難にしているという課題が現実にはある。実際にインシデントが発生した際にも、多数の関係者、異なるシステム、多様な地理的位置などが絡み合うことで、サイバー攻撃の発生源を特定し、対応することが困難な場合も多い。また、一つのサイバー攻撃が複数のプロセスや部門に影響を与える可能性があるため、包括的なサイバーリスク管理も必要となっている。

サプライチェーンの脆弱性がどのように実際の損害をもたらす可能性があるかを理解し、サイバーリスクを管理して、緩和するための戦略を策定していく必要がある。ただし、従来のセキュリティ対策だけではなく、新たなサイバーリスク管理のアプローチが必要であることは否定できない。特に、サプライチェーン全体のサイバーリスクを把握し、それに対応するための包括的な戦略が必要とされている。

サプライチェーン全体のリスクを把握する

サプライチェーンにおけるサイバーリスクが高まるに伴い、NIST（米国立標準技術研究所）のフレームワークをはじめ、国際的な枠組みとガイドラインの重要性が高まっている。

NISTのNIST Cybersecurity Framework（CSF）^[3]は、サイバーリスク管理のための主要なガイドラインの一つである。「識別」、「保護」、「検知」、「対応」、「復旧」という5つのコア機能を基盤として、企業がサイバーリスクを体系的に評価し、管理するための枠組みを提供している。

このフレームワークはリスクベースアプローチの考え方に基づいており、リスクに応じて投入するリソースを決定することで、サプライチェーン全体のリスクを把握し、それに対応するための包括的な戦略を策定することを求めている。また、初めて触れるユーザーから上級ユーザーまで、フレームワークの使用を支援するためのオンライン学習リソースも提供されているため、多くの企業で使いやすいだろう。^[4] 企業が自身のサイバーリスク管理の実践を、国際的に認知されたベンチマークと比較することができる。

また、ISO（国際標準化機構）とIEC（国際電気標準会議）が共同で開発したISO/IEC 27001は、ISMS（情報セキュリティ管理システム）の国際標準であり、多くの企業で採用されている。^[5] ISMSの認証取得に関しては、日本企業が最も積極的だとも言われている。この標準では、企業が情報セキュリティのリスクを管理し、事業継続性を保証するための体系的なアプローチとして、リスク管理プロセス、セキュリティポリシー、物理的および技術的なセキュリティ対策など具体的な手段が提供されている。

冒頭で海運業界におけるケースを紹介したが、海事におけるサイバーリスク管理としては、IMO（国際海事機関）からガイドラインが発行されている。^[6] ここでは、現在および新たに出現するサイバー脅威と脆弱性から航行を保護するための推奨事項を提供している。

これらの国際的な枠組みとガイドラインは、サプライチェーンのサイバーセキュリティを強化するために設計されており、企業がこれらを実践することで、サプライチェーン全体のリスクを把握し、それに対応するための包括的な戦略を策定することが可能となる。まずは、サプライチェーン全体のリスクを把握し、それに対応するための包括的な戦略を策定することが求められている。

サイバーリスクを管理する

サプライチェーンのサイバーリスク管理を実践するにあたって、サプライチェーン全体でのサイバーセキュリティが重要となるが、サプライチェーン内のあらゆる組織で同一のサイバーセキュリティを実装するのは、コストや業務効率の問題などからも、あまり現実的ではない。そのため、リスクベースアプローチによって、リスクが低い場合には相応のリソースで十分であるとするなどの緩急をつけた決定をすることになる。

リスクベースアプローチではまず、サプライチェーン上の取引先についてリスクを算定し、それに応じたサイバーセキュリティを実装することが重要である。

ただし、特定の企業だけでなく、サプライチェーン全体でセキュリティ意識を高め、共通の基準やガイドラインに基づいたセキュリティ対策を実施していかなくてはならない。

具体的には、従業員や取引先との間で定期的なセキュリティ教育や訓練を実施し、サイバーセキュリティ意識を高め、人的ミスによるリスクを最小限に抑えることが重要である。サイバーリスクの性質は常に変化しているため、従業員の教育とトレーニングは継続的に行わなければならない。

そして、将来的にサプライチェーンが直面するであろうサイバーリスクに対処することについても、考えていく必要がある。

例えば、AI（人工知能）、自動化技術の進展などによって、悪意ある者はより洗練された攻撃手法を編み出す可能性がある。これはサイバー攻撃手法の変化だけでなく、これらの新しいテクノロジーを導入する企業にとっても、サイバーセキュリティの側面を考慮し、適切な保護を講じる必要がある。

また、各国政府や国際機関がサイバーセキュリティに関する法規制を整備し、それに基づいたセキュリティ対策を実施することも求められる。サプライチェーンはしばしば複数の国境を跨ぐため、国際的なサイバーセキュリティ規制への対応が不可欠となる。

サプライチェーンにおけるサイバーセキュリティは、単一の企業の枠組みを超えて考える必要がある。サイバーリスク環境は絶えず変化しているため、サプライチェーンはこの変化に適応しつつリスクを最小限に抑える必要がある。そのためには、企業はサプライチェーン全体のリスクを把握し、それに対応するための包括的な戦略を策定することで、サイバーリスクを効果的に管理し、サプライチェーンの安全性と信頼性を高めなくてはならない。そして、サイバー攻撃やその他の緊急事態が発生した際には、迅速に対応し、通常の業務に戻る回復力がビジネスの継続性を保証するために不可欠となる。

出典

1. サイバーリスク：ランサムウェア被害の身代金は支払うべきか. Return to article undo
2. The Attack on Colonial Pipeline: What We’ve Learned & What We’ve Done Over the Past Two Years (CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY). Return to article undo
3. CYBERSECURITY FRAMEWORK (National Institute of Standards and Technology). Return to article undo
4. NIST Cybersecurity Framework (National Institute of Standards and Technology). Return to article undo
5. ISO/IEC 27001:2022　Information security, cybersecurity and privacy protection. Return to article undo
6. Maritime cyber risk (International Maritime Organization). Return to article undo