サプライチェーン攻撃への対応の難しさ

サプライチェーン攻撃への対応【セキュリティコラム第2弾 第3回】

企業規模の大小に関係なく、BtoCやBtoBなどに関係なく、事業を営むということは、あらゆる関係性の上に成り立つ、ということでもあります。そこには、金銭やモノなどの行き来のみならず、「情報」も合わせてやり取りがなされます。

例えば、システム開発を行う大手ITベンダーは、クライアントから受託したシステム開発を他のシステム会社に再委託する「多段階構造」が通例です。建設業や製造業も二次請け、三次請けへと仕事を割り当てる「サプライチェーン構造」で有名な業種です。

商品を作るメーカー、それを預かる倉庫企業、それを配送する物流企業、それを店舗に並べる小売店、それをネット上に並べるECサイト。モノとお金と情報が、相互にやり取りがなされ、世の中の商売が成立します。

サイバー攻撃は、そのようなやりとりを一瞬にして壊滅状態に追いやります。

関係があるのであれば他人事ではない

例えば、システム開発であれば、再委託したシステム開発会社がサイバー攻撃によって破壊された場合、納期遅延が確実になるばかりか、機密情報として取り扱うべきソースコードが漏洩したり、開発に関わる企業一覧とその担当者、役割が明記された情報が漏洩すれば個人情報漏洩となり、個人情報保護委員会への報告が必須となります。

建設業であれば、本来であれば世の中に出てはいけない「設計図面」情報が破壊され、流出することで、テロリストの手に渡ると破壊活動に使われるリスクが突如として顕在化したり、そこに掲載されている会社名や設計担当者名等が掲載されていれば個人情報の漏洩に直結します。

商品を作るメーカーのシステムが破壊されれば、そもそも出荷すること自体が困難になり、市場から一時的、あるいは断続的に供給量が減少し、供給不足が社会問題化する懸念が突如として顕在化します。

どこか１箇所でサイバー攻撃による破壊や、情報漏洩が起こってしまうと、関連する事業会社全てが影響を受けざるを得なくなります。そのため、自社だけがしっかりとセキュリティ対策を講じていたとしても、ビジネスでやりとりをする他の企業が被害に遭えば、自社もサイバー被害に巻き込まれることになってしまいます。

被害の発端にならないために

このような被害を防ぐ手立てはあるのでしょうか。

今のところは、セキュリティレベルの高い企業からの注意喚起、あるいはセキュリティ対策が行われているかどうかのチェックシートによる現状確認が行われていますが、強制力があるわけではなく、対策そのものは、その企業が任意に行うものです。

特にセキュリティ意識の低い中小企業では、チェックシートなどに記載されている内容そのものが理解できずにそのまま放置する等、真剣に向き合って対策をしている企業は決して多くはありません。

IPA（情報処理推進機構）も、2024年の情報セキュリティ10大脅威の中で、「サプライチェーンの弱点を悪用した攻撃」を二位に挙げています。

セキュリティの重要性を把握してる公的機関や取引会社、インシデント対応を行っているセキュリティ専門会社等はサプライチェーンリスクの重要性を痛感しているのですが、セキュリティに無頓着な企業は、自社がサプライチェーンの中におり、サイバーセキュリティ対策を強化しなくてはいけない、とすら思っていない点が、サプライチェーン攻撃への対策の難しさを物語っています。