企業によるIoT、AI、ビッグデータなどのIT活用が進むと同時に、サイバー攻撃は年々高度化・巧妙化の一途をたどっています。サイバー攻撃により情報流出・インフラ停止などの事態に陥れば、社会的な信用低下を招くだけでなく経営責任や法的責任を追求されることもあり、企業経営に多大な損害を与える大きなリスクを秘めています。このような理由からも、経営者はサイバー攻撃を重要な経営課題として位置づけ、積極的なセキュリティ投資を行う必要性があると言えるでしょう。
そこで本記事では、昨今、企業規模を問わず対策の必要性が叫ばれているサプライチェーン攻撃のセキュリティについて、その代表的な対策法の1つである「ガイドラインの導入/実施」に焦点を当てて解説していきます。
サプライチェーンリスクの移り変わり
本題に入る前に、まずはサプライチェーンリスクの変遷を振り返ってみましょう。従来のサプライチェーンリスクは主に「事業継続性」に重点が置かれてきました。例えば、事故、災害、システム障害、不祥事、テロなどにより、サービスの供給網(サプライチェーン)が損害を受けたとき、「どうやってそれを維持するか?」が重要視されていたのです。
しかし昨今、ITの利活用が急激に進んだことで新たなサプライチェーンリスクが顕在化しました。それが「サプライチェーンにおけるサイバー攻撃」です。この新たなリスクに対応するには「情報セキュリティ」に重点を置いた対策が必須であり、企業経営者は従来のサプライチェーンリスクの捕らえ方を刷新する必要があるでしょう。
サプライチェーン攻撃の危険性、事例、対策方法は以下の記事にて解説しています。リスクへの対処は「リスクを知ること」から始まります。ぜひご一読ください。
サイバー攻撃の観点から見る、サプライチェーンのリスクとその対策とは?
サプライチェーン・セキュリティ・ガイドラインの参考資料
ここでは、日本国内の機関が公表している、サプライチェーンセキュリティに関するガイドラインをいくつかご紹介します。サプライチェーンセキュリティ対策としてガイドラインを導入するには、信頼に足る機関が公表しているガイドラインを参考にするのが手っ取り早いでしょう。
サイバーセキュリティ経営ガイドラインv2.0
経済産業省と情報処理推進機構(IPA)が2017年11月16日に発行した、経営者向けの総合的なセキュリティ対策ガイドラインです。当ガイドラインの中では、サイバーセキュリティ経営の重要10項目の1つとして「ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」が挙げられており、企業によるサプライチェーン対策の必要性、方針、手法が網羅的に解説されています。その他、セキュリティポリシーの策定方法や、対策に必要な資源(予算、人材)の確保、インシデント発生時の対応体制についてなど、セキュリティ経営の詳細が0から解説されています。
もしあなたが企業経営者(もしくはセキュリティ担当者)であれば、本格的にセキュリティ対策を進める前に、一度じっくりと目を通すことを強く奨めます。
参考:情報処理推進機構|サイバーセキュリティ経営ガイドラインv2.0
中小企業の情報セキュリティ対策ガイドライン第3版
情報処理推進機構(IPA)が2019年12月19日に発行した、経営者向けの総合的なセキュリティ対策ガイドラインです。先ほど紹介した「サイバーセキュリティ経営ガイドライン」の内容を薄く延ばしたような構成で、より平易で理解しやすい内容となっています。
サプライチェーンセキュリティに特化した内容ではありませんが、企業が取り組むべきセキュリティ対策のイロハが網羅的に解かれていますので、是非一度読んでみてください。
サイバー・フィジカル・セキュリティ対策フレームワークv1.0
経済産業省が2019年4月18日に発行した、民間事業者向けのセキュリティフレームワークです。IT活用促進により現実空間とサイバー空間が融合したことで、攻撃の起点が大幅に増加した現状に対応するために、民間企業がサプライチェーン全体を通して取り組むべきセキュリティ対策の方針や、リスク源がまとめられています。
参考:経済産業省|サイバー・フィジカル・セキュリティ対策フレームワーク
サプライチェーン・セキュリティ・ガイドラインの実施手順
ここからは、サプライチェーン・セキュリティ・ガイドラインの実施手順をご紹介します。本項の狙いは、ガイドライン実施のイメージを掴んでもらうことです。より具体的なハウツーについては、前項で紹介した資料をよく読み、より正確な情報を元にセキュリティ対策を実践してください。
STEP1. サプライチェーンリスクへの対応方針を策定/策定
STEP2. セキュリティ管理体制の構築
STEP3. サプライチェーンリスクの把握/対応計画の策定
STEP4. サプライチェーンリスクの対応計画の実施/改善
STEP5. インシデント発生時の対応体制の整備
参考:情報処理推進機構|サイバーセキュリティ経営ガイドラインv2.0
参考:中小企業の情報セキュリティ対策ガイドライン第3版
STEP1.サプライチェーンリスクへの対応方針を策定/宣言
新たなサプライチェーン・セキュリティポリシーの策定においては、自社の経営方針との整合をとり、さらには情報システム、製造、販売など、社内の各事業部門に応じた方針まで練ると良いとされています。
またセキュリティポリシー策定後は、社内外への周知活動も積極的に行うことで、次のようなメリットを享受することが可能です。
- 社内:一貫性のある効果的なセキュリティ対策の実行
- 社外:株主、顧客、取引先からの信頼性向上
STEP2.セキュリティ管理体制の構築
サプライチェーンセキュリティに限った事ではありませんが、サイバーセキュリティ対策において「セキュリティ管理体制の構築」を欠かすことはできません。
社内のセキュリティリスクを常に管理・把握し、インシデントが発生した際には被害の拡大防止、復旧対応を行う体制は必須です。
下記の項目を踏まえ、自社にとって最適なセキュリティ管理体制を検討しましょう。
- 体制構築に必要な予算の確保
- セキュリティ人材の確保/育成
- 担当者/担当部署の設置
- 専門の外部サービスの利用
また、専門的な外部サービスの利用にあっては「専門知識をもたない利用者が、専門的なサービスの品質をどうやって判断するか?」が課題となります。
この課題に対する有効な解決策の1つは、経済産業省が設けた「情報セキュリティサービス基準」を活用することです。
詳しくは情報処理推進機構のホームページをご覧ください。
STEP3.サプライチェーンリスクの把握/対応計画の策定
続いては、サプライチェーン上のセキュリティリスクを出来る限り洗い出し、対応計画を練ります。基本的にこの作業は、セキュリティに明るい担当者が行うべきですが、大まかな流れを以下に示します。
- 守るべき情報を明確にする
- 当該情報の保管場所/流通経路を特定
- 現状のセキュリティ対策状況とリスクを把握
- 改善計画の策定
特に、4.においては「リスクベースアプローチ」という手法を取り入れてみると良いでしょう。リスクベースアプローチとはつまり「リスク値※の高低によって投入するリソースを変動させる」という考え方で、限られたリソースを効果的に分配するために、大いに役立ちます。
リスク値の算出は自社内だけでなく、サプライチェーン上の関連企業に対しても必ず行うべきです。仮にリスク値の高い取引先が明らかになった場合、優先的に十分なセキュリティ対策等を講じましょう。
※リスク値=影響度×発生確率(参考:JISQ31000)
STEP4.サプライチェーンリスクの対応計画の実施/改善
対応計画の実行内容は企業によって異なりますが、ここでは代表的なサプライチェーンリスクへの対応方法をご紹介します。
下記は、サプライチェーン上の企業に対する代表的なリスク対応方法です。
- 契約前に委託先の対策状況を確認する
- 契約時に対策方法や責任範囲を明確化する
- 契約後は定期的に対策状況の把握を徹底する
続いて、自社内のリスク対応方法としては以下の項目があります。
- 業務で使用する端末、システム等には多層防御を施す※
- セキュリティリテラシーの向上を目的とした従業員教育
※入口対策(ファイアウォール、IDS/IPS)だけでなく、内部対策、出口対策を含めた防御システム
STEP5.インシデント発生時の対応体制の整備
最後は、実際にセキュリティ事故が発生した場合の対応体制の整備です。緊急時には、混乱の中、下記を代表とする様々な対応業務が発生するため、各部署・担当者の役割や手順を明確にしておく必要があります。
- 原因特定の調査作業
- ログ等の証拠保全
- 組織内外の関係者への情報伝達
- 社外への情報開示
- システム等の復旧作業
特に、組織内外の緊急連絡ルートを整備し周知させることは非常に重要です。情報伝達の遅れや誤りは、さらなる被害の拡大や復旧の失敗につながるからです。
そのためにも日ごろから、緊急時対応のシュミレーションやインシデントを想定した訓練を行い、実際に決めた役割・手順通りに動けるのかどうかの確認も定期的に行うと良いでしょう。
サプライチェーン・セキュリティ・ガイドラインのまとめ
本記事で紹介した「サプライチェーン・セキュリティ・ガイドライン」の実施手順は読者の皆様に”イメージ”を掴んでもらうためのものです。本格的にガイドラインを導入される場合は、必ず下記の資料に目を通すようお願い致します。
今回ご紹介したガイドラインに沿って、そして自社の環境を考慮して、セキュリティ対策を強化していく必要があるでしょう。
Webアプリケーション等を提供している企業の場合、標準的な対応策としてWAFや暗号化ソリューションの導入は非常に有効です。一例として弊社製品である「WAPPLES」は、アジア・パシフィック地域において最も著名なWAFの1つであり世界各国70万以上のサイトを保護しています。
セキュリティの専門家がいない中小企業でも簡単に導入できる製品ですので、WAFや暗号化ソリューション未導入の企業様はぜひ以下リンクから詳細をご確認ください。