サイバーリスク管理が進まない! 製造業サプライチェーンの深刻な現実製造業のサプライチェーンサイバーリスク管理:その重要性と具体策(前編)(1/2 ページ)

製造業はサプライチェーンを介したサイバー攻撃の標的になりやすい状況にあります。リスク管理のため、サプライチェーンの可視化やサードパーティーの役割を正確に把握することが重要です。本連載では前後編で、製造業のサプライチェーンリスクの現状評価と、セキュリティ確保の重要性を解説していきます。

» 2024年12月24日 08時00分 公開

 サプライチェーンやサードパーティーのサイバーリスク管理は、企業がサプライチェーンベンダーや他の関係者によってもたらされるサイバーリスクを認識し、対応していく上で欠かせない取り組みです。特に、製造業はサプライチェーンを介したランサムウェア攻撃の標的になりやすいため、サプライチェーンの可視化やサードパーティーの役割を正確に把握することが重要です。サイバーリスク管理体制を整備することで、企業はデータやシステムのセキュリティを強化できます。

 本記事では、以下の3つについて解説していきます。

  • 製造業のサプライチェーンにおけるサイバーリスク評価と管理の現実
  • サプライチェーンにおけるリスク管理の概要と対応
  • サード/フォースパーティリスクの重要性

日経225企業の調査で明らかになった製造業の実態

 日経平均株価を構成する企業(日経225)の業種別サイバーリスクレーティング調査(SecurityScorecardが2023年11月に実施)を参照すると、製造業は他業種に比べ、サイバー攻撃に対して脆弱(ぜいじゃく)な様子が浮かび上がります。調査は金融や製造、ヘルスケア、公益事業、運輸の主要セクターを対象とし、それぞれのセキュリティ対策状況を評価しました。

 調査結果では、全体の30%の企業は平均的な評価「C」を受け、7%の企業はセキュリティ体制が不十分と考えられる評価「D」、または「F」という結果でした。特に注目すべき点は、日経225の構成企業の内、10社がドメインハックの被害に遭っており、そのうち9社が製造業だったという点です。

 また、83%の製造業がサードパーティーに起因する情報漏えいの影響を受けたドメインを所有しており、さらに85%はフォースパーティに起因した侵害を経験しています。製造業がサプライチェーンにおけるセキュリティリスクに直面している様子がうかがえることから、サードパーティーやフォースパーティのリスク管理が極めて重要になっているといえるでしょう。

製造業のサプライチェーンにおけるサイバーリスク管理

 製造業のサプライチェーンにおけるサイバーリスク管理は、非常に深刻な課題を抱えています。上記分析結果に加え、SecurityScorecardが2021年から2022年にかけて「フォーブス・グローバル2000」のリストに含まれる重要製造業全てを分析したところ、パッチング・ケイデンス(セキュリティパッチの適応)が大幅に低下し、88点(B)から76点(C)に下がっていることが明らかになっています。この評価の低下は、脆弱性に対するパッチ適応の頻度の高まりにリスク管理が追い付いていないことを示唆しています。

※米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の定義を参照。重要な製造業には、「第一次金属製造業」「機械製造業」「電気機器、家電製品、部品製造業」「輸送機器製造業」が含まれる。

 米国のCISAが定義する重要製造業において、2022年には、深刻度の高い脆弱性が前年比で38%増加しており、重要な製造業組織の76%が、ランサムウェアグループの標的となり得る高/中重度のCVE(共通脆弱性識別子)を保有していました。

 また、ランサムウェア攻撃をはじめとするマルウェアによる被害を経験しています。例として、ランサムウェアグループ「Conti」のデルタ電子への攻撃が挙げられます。この攻撃によって同社のサーバ1500台以上と、PC1万2000台以上が暗号化され、公式サイトがオフラインになったため、新しいWebサイトを立ち上げることを余儀なくされました。

 このようなインシデントを回避するためには、サードパーティーベンダーをはじめとするビジネスに関係する全企業のセキュリティ体制を把握することが重要です。

 サードパーティーのリスク管理(TPRM:Third-Party Risk Management)は、組織データやシステム、業務アプリにアクセスする他、サードパーティーベンダーやサプライヤーなどに関連するリスクを特定、評価し、軽減するためのプロセスと一連の実施要項です。サードパーティーはデータ侵害やコンプライアンス違反、ビジネスの中断、ブランド毀損(きそん)など、組織に重大なリスクをもたらす可能性があるため、TPRMは非常に重要です。また、組織がサプライチェーン全体を見渡し、潜在的な脅威を先回りして対策を講じることで、セキュリティと安定性を強化できます。

 しかしながら、既存の多くのTPRMプログラムには、以下のような要因から生じるサイバーリスクにおける盲点が含まれています。

サプライチェーンへの依存度の拡大

 製造業ではコストの削減や効率性の観点などから外部ベンダーへの依存が高まり、サプライチェーン全体でのサイバーリスクが無視できないものへとなっています。これに伴い、TPRMプログラムもきわめて重要なものとなっています。必要に応じて、TPRMプログラムに求められる対応力を強化していかなければなりません。

一時の評価に依存

 通常のTPRMプログラムは、年に一度実施するベンダーに対するアンケート調査などを通じてセキュリティポリシーや管理状況を把握しますが、これでは新たな脅威や脆弱性を正確に把握しきれません。一時点のみの評価はすぐに陳腐化し、これに100%依存してしまうと、誤った安心感を生むリスクがあります。

限られたTPRMのリソースと能力

 予算や人員が限られている場合、TPRMは主要ベンダーにのみ集中することが多く、小規模なサプライヤーやサービスプロバイダーは見落とされがちです。この問題は、スプレッドシート管理や手作業によるリスク評価プロセスに依存しているTPRMプログラムでは、特に顕著となります。

サイバーセキュリティの専門知識の欠如

 TPRMはサイバーリスクに特化した専門知識が求められ、リスク管理の専門家によって実施されます。日々変化するサイバーリスクに対応するにはセキュリティの専門家との緊密な連携が必要となりますが、専門家に依存しすぎると新たな脅威に対してタイムリーな対応が難しくなります。

求められるサプライチェーンにおけるリスク管理

 前述のように、ベンダーリスクと従来のTPRMの担当者は、直面しているサイバーリスクに十分に対応できていません。サプライチェーンのセキュリティを強化するには、サプライチェーン上のベンダー各社の脆弱性を把握することが重要です。

 侵害によって重大な混乱が生じる可能性がある重要なポイントを正確に特定する必要があり、ベンダー各社の状況を理解することが重要です。また、取引先や関連組織のセキュリティを定量的に評価し、脆弱性を特定することで、リスクの可視化や迅速な対応を可能にします。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.