製造業のサプライチェーンセキュリティ対策に欠かせない「TPRM」とは?:製造業のサプライチェーンサイバーリスク管理:その重要性と具体策(後編)(2/2 ページ)
製造業はサプライチェーンを介したサイバー攻撃の標的になりやすい状況にあります。リスク管理のため、サプライチェーンの可視化やサードパーティーの役割を正確に把握することが重要です。本連載では前後編で、製造業のサプライチェーンリスクの現状評価と、セキュリティ確保の重要性を解説していきます。
脆弱性管理と外部監視の重要性
攻撃者は最も抵抗の少ない経路を狙うため、サードパーティー由来のサイバーリスクは増加の一途をたどっています。組織内で強力な防御に直面すると、攻撃者はセキュリティ対策が脆弱な可能性が高いサードパーティープロバイダーに標的を切り替えます。
2024年、大手総合モーターメーカーのグループ会社を狙ったランサムウェア攻撃やCrowdStrikeの障害など、注目度の高いインシデントによって企業がベンダーから受けるリスクが浮き彫りになり、TPRMの重要性が一層、明らかになりました。特に前者のランサムウェア攻撃は、本社だけでなくグループ他社や海外法人のデータも暗号化されるなど、海外を含むグループ全体に影響を及ぼしました。たった1つのベンダーのセキュリティ障害が、業務の停止とサプライチェーン全体への波及を引き起こしたのです。サードパーティーへの依存とリスク管理の不足は、1つの脆弱性が全システムを崩壊させる事態を引き起こす可能性を示しました。
他方、CrowdStrikeの不完全なアップデートで世界中の何千ものシステムが機能しなくなった事例は、最も信頼されているベンダーでさえ、意図せずに大規模な混乱を引き起こす可能性があることを示しました。継続的な監視とリアルタイムの対応はいまや不可欠です。ベンダーのセキュリティ状況を常に把握していなければ、サイバー災害を未然に防ぐことは困難なものとなっています。
ベンダーのサイバーセキュリティ管理とインシデント対応の強化
サードパーティーリスクを軽減するには、契約上の合意や監査といった従来の要素に加え、ベンダーリスクをライフサイクル全体で管理する戦略が必要です。以下に、その具体的なアプローチを説明します。
- 契約上の保護措置:セキュリティ義務やデータ保護プロトコル、パフォーマンスメトリックを契約上で明確に定義し、ベンダーの説明責任を強化します。これにより、リスク管理のための法的枠組を確立
- 積極的なリスク評価:初期評価だけではなく、ベンダーのリスクプロファイルを定期的に見直し、新たな脆弱性を把握します。この手順により、ビジネス環境の変化に応じて新たな脅威に先手を打つことが可能に
- 継続的な監視:AI駆動型ツールやリアルタイム監視システムを導入して、潜在的なリスクが拡大する前に警告を発します。即時対応が可能になり、侵害や運用上の障害リスクを軽減
- インシデント対応計画:明確なコミュニケーションプロトコルとインシデント対応計画を確立して、最悪のシナリオに備えます。問題発生時に迅速な対応が可能になり、被害が最小限に抑えられ、ビジネスの継続性を確保
組織はこれらの戦術を統合することで、インシデント発生時の混乱を最小限に抑え、コンプライアンスを維持し、サードパーティーのリスクに対する防御を強化できます。
次に重要なのは、ベンダーの詳細な把握です。ベンダーのセキュリティ対策、データ処理手順、インシデント対応計画を評価することで、潜在的なリスクを特定できます。役割やセキュリティの成熟度に基づいてベンダーの優先順位付けを行い、脆弱性を改善するとともに、より回復力を持つサプライチェーンの構築へとリソースを集中していきましょう。
企業は強固なTPRMプログラムの実装が求められています。初期のリスク評価にとどまらない、ライフサイクル全体にわたった継続的な監視とベンダー評価を組み込むことは、リスクを最小限に抑え、重大な運用停止を防ぐうえで不可欠です。
橋本詩保(はしもと しほ)
SecurityScorecard
インターナショナルマーケティング担当 バイスプレジデント
2021年より現職。サイバーセキュリティやテクノロジー業界で、20年以上業務を経験。SecurityScorecard以前には、コンピュータゲーム開発企業であるRovio Entertainmentの子会社 Hatch Entertainmentで、SamsungやNTTドコモなどのパートナーと共にモバイルクラウドゲームの世界展開を主導してきた。アイデンティティアクセス管理および暗号化の世界的リーダであるSSH Communications Securityでは、世界的にマーケティングチームを率いるなど、グローバルな視点でマーケティング戦略を展開。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
OTセキュリティを巡る3つの落とし穴〜Why OTセキュリティの共通認識と本質的How
本稿では、OTセキュリティにおける3つの落とし穴を通して、OTセキュリティのWhy(なぜ必要なのか)の共通認識と、勘所としてのHow(どのように進めるか)を解説します。
スマート工場におけるガイドライン別冊の活用ポイントと注意点
本稿では、近年増加するスマート化を進める工場が留意するポイントを、スマート工場向けのガイドラインをもとに解説します。
工場のサイバーセキュリティ対策、スマート化を進める際のポイントとは
製造業向けの国内最大級のオンラインイベント「ITmedia Virtual EXPO 2024 夏」において、「経済産業省における工場セキュリティ政策〜工場スマート化を進める際の対策ポイント〜」をテーマに経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐 加藤優一氏が行った基調講演の模様を一部紹介する。
信頼性強化か大惨事か 基幹インフラでの機械学習活用がOT環境に与えるリスク
機械学習アルゴリズムを基幹インフラシステムに統合することで、リアルタイムのモニタリングや予知保全といったメリットがもたらされます。一方で、サイバーセキュリティ上のリスクが生じることも確かです。本稿ではこのセキュリティリスクについて解説を行います。
欧米との比較に見る、日本のソフトウェアサプライチェーンセキュリティの現在地
日本シノプシスは、調査レポート「ソフトウェア・サプライチェーン・セキュリティ・リスクの状況」を基に、日本企業のソフトウェアサプライチェーンセキュリティに対する取り組みや対応状況などについて説明した。