さくら情報システム株式会社
技術開発部
鈴木 優一

１．サイバー攻撃の現状

サイバー攻撃は、大規模な国際イベントや社会情勢の混乱時（オリンピック、新型コロナウイルス感染症のパンデミックなど）に増加する傾向があります。

昨今の報道でも、名のある大手企業の被害がしばしば取り上げられており、サイバー攻撃は徐々に増えている傾向が見て取れます。

しかしながら、これは氷山の一角であり、被害に気付けない高度な手法で攻撃されるケースや、不十分なセキュリティ対策のため自社が攻撃されたことに気付けないケースなどを考慮すると、表面化していない事例はさらに多いと推測することができます。

サイバー攻撃では、「適切なセキュリティ対策を怠れば、企業規模や業種に関係なく被害を受ける」ことが紛れもない事実です。いまや大企業だけではなく、中小企業も標的になり得ます。

その根拠となるサイバー攻撃の一つが、「サプライチェーン」を狙った攻撃（＝サプライチェーン攻撃）です。これは、中小企業が特に注意すべきサイバー攻撃で、近年多くの発生事例が公表されています。

独立行政法人 情報処理推進機構（IPA）が公表した「情報セキュリティ10大脅威2022」によると、サプライチェーン攻撃は第３位にランクインしており、ここ数年は常に上位に位置しています。

２．サプライチェーンリスク

現代のビジネスでは、大企業から中小企業までを含む複数の企業が関わり合いを持ち、一つの製品やサービスを提供することが珍しくありません。

この関わりや、製品などを提供するまでの一連のプロセスを「サプライチェーン」と呼びます。サプライチェーンは、その一部に何らかのトラブルが発生した場合、プロセス全体が停止し、多大な被害と影響が生じるリスク（＝サプライチェーンリスク）を有します。

このサプライチェーンリスクは、自然災害やパンデミックなど、さまざまな要因で顕在化しますが、近年はサイバー攻撃を起因とした事例の増加が社会課題となっています。

なかでも、大企業に対するサプライチェーン攻撃では、その一翼を担う中小企業が標的になりやすい傾向があり、注意が必要です。

サプライチェーン攻撃において中小企業が狙われるのは、セキュリティ対策に対して、大企業ほどのコストやリソース（人手や時間）を割けないことに起因します。つまり、強固な大企業のセキュリティを正面突破するよりも、攻撃の成功確率が高いからです。

また、本来は大企業が標的の場合でも、取引上保有する大企業の重要情報が狙われるケースや、侵入する足掛かりとして利用されるケースもあります。

このような背景から、大企業はサプライチェーンを強固にすべく、サプライチェーンに参画する企業のセキュリティ対策の実施状況の確認や統制管理に着手し始めています。

米国では、取引先企業にセキュリティ要求を強いるガイドラインが制定され、すでに日本国内でも政府機関をはじめ、グローバル企業はこれを遵守しています。

各産業界でもトップダウン的に広がり始めており、近い将来、「十分なセキュリティ対策を施していなければ取引してもらえない」ということが、企業間の契約でも起こり得るでしょう。

３．すぐにできる事前準備

これまでの説明から、サイバー攻撃は中小企業でも重大な脅威であり、セキュリティ対策は事業継続における重要課題の一つとして取り組む必要があることが、ご理解いただけたかと思います。

ただし、セキュリティ対策は、大企業ほどのコストやリソース（人手や時間）を掛ける必要はありません。まずは、できるところから一つずつ始めるという意識を持ち、いつ起きるかわからない有事に備えることが大切です。

以下に示した①〜③は、すぐに実践できる具体的な事前準備です。ぜひ取り組んでみてください。

＊IPA「リスク分析シート」（中小企業の情報セキュリティ対策ガイドラインページ内、付録7） https://www.ipa.go.jp/security/keihatsu/sme/guideline/

４．最後に

セキュリティ対策の基本は、「事実の整理」です。また、セキュリティリスクは、“ゼロリスク”があり得ないことを認識し、有事は起きるという前提で、「いかに早く復旧できるか」の思考が事業存続の命運を分けます。

想定や思い込みを排除し、しっかりと事前準備を行うことで、同業他社の水準にとらわれないセキュリティ対策に取り組んでいきましょう。

「Netpress」はPDF形式でもダウンロードできます

SMBCコンサルティング経営相談グループでは、税金や法律など経営に関するタイムリーで身近なトピックスを「Netpress」として毎週発信しています。過去の記事も含めて、A4サイズ1枚から2枚程度にまとめたPDF形式でもダウンロード可能です。

PDF一覧ページへ