Netpress 第2187号 サプライチェーンの要 中小企業に必要なセキュリティ対策の備え
1.企業規模や業種に関係なく、サイバー攻撃の標的になり得ることから、業務委託先に対するセキュリティ要求が、日本でも徐々に増えてきています。
2.有事における事業継続の鍵は、復旧に至る早さです。事前準備をしっかりと行えば、迅速な復旧が可能です。
さくら情報システム株式会社
技術開発部
鈴木 優一
1.サイバー攻撃の現状
サイバー攻撃は、大規模な国際イベントや社会情勢の混乱時(オリンピック、新型コロナウイルス感染症のパンデミックなど)に増加する傾向があります。
昨今の報道でも、名のある大手企業の被害がしばしば取り上げられており、サイバー攻撃は徐々に増えている傾向が見て取れます。
しかしながら、これは氷山の一角であり、被害に気付けない高度な手法で攻撃されるケースや、不十分なセキュリティ対策のため自社が攻撃されたことに気付けないケースなどを考慮すると、表面化していない事例はさらに多いと推測することができます。
サイバー攻撃では、「適切なセキュリティ対策を怠れば、企業規模や業種に関係なく被害を受ける」ことが紛れもない事実です。いまや大企業だけではなく、中小企業も標的になり得ます。
その根拠となるサイバー攻撃の一つが、「サプライチェーン」を狙った攻撃(=サプライチェーン攻撃)です。これは、中小企業が特に注意すべきサイバー攻撃で、近年多くの発生事例が公表されています。
独立行政法人 情報処理推進機構(IPA)が公表した「情報セキュリティ10大脅威2022」によると、サプライチェーン攻撃は第3位にランクインしており、ここ数年は常に上位に位置しています。
2.サプライチェーンリスク
現代のビジネスでは、大企業から中小企業までを含む複数の企業が関わり合いを持ち、一つの製品やサービスを提供することが珍しくありません。
この関わりや、製品などを提供するまでの一連のプロセスを「サプライチェーン」と呼びます。サプライチェーンは、その一部に何らかのトラブルが発生した場合、プロセス全体が停止し、多大な被害と影響が生じるリスク(=サプライチェーンリスク)を有します。
このサプライチェーンリスクは、自然災害やパンデミックなど、さまざまな要因で顕在化しますが、近年はサイバー攻撃を起因とした事例の増加が社会課題となっています。
なかでも、大企業に対するサプライチェーン攻撃では、その一翼を担う中小企業が標的になりやすい傾向があり、注意が必要です。
サプライチェーン攻撃において中小企業が狙われるのは、セキュリティ対策に対して、大企業ほどのコストやリソース(人手や時間)を割けないことに起因します。つまり、強固な大企業のセキュリティを正面突破するよりも、攻撃の成功確率が高いからです。
また、本来は大企業が標的の場合でも、取引上保有する大企業の重要情報が狙われるケースや、侵入する足掛かりとして利用されるケースもあります。
このような背景から、大企業はサプライチェーンを強固にすべく、サプライチェーンに参画する企業のセキュリティ対策の実施状況の確認や統制管理に着手し始めています。
米国では、取引先企業にセキュリティ要求を強いるガイドラインが制定され、すでに日本国内でも政府機関をはじめ、グローバル企業はこれを遵守しています。
各産業界でもトップダウン的に広がり始めており、近い将来、「十分なセキュリティ対策を施していなければ取引してもらえない」ということが、企業間の契約でも起こり得るでしょう。
3.すぐにできる事前準備
これまでの説明から、サイバー攻撃は中小企業でも重大な脅威であり、セキュリティ対策は事業継続における重要課題の一つとして取り組む必要があることが、ご理解いただけたかと思います。
ただし、セキュリティ対策は、大企業ほどのコストやリソース(人手や時間)を掛ける必要はありません。まずは、できるところから一つずつ始めるという意識を持ち、いつ起きるかわからない有事に備えることが大切です。
以下に示した①〜③は、すぐに実践できる具体的な事前準備です。ぜひ取り組んでみてください。
| ①現状を把握する | ・情報資産の整理 … 自社として守るべき情報資産の棚卸をして、それに対する具体的な脅威を一覧化する(雛形がない場合、IPA提供の「リスク分析シート」*の活用を推奨)。 ・関係先の整理 … 業務委託先、利用しているクラウドサービスなど、事業と関係する先を一覧化し、ビジネスプロセスにおける関係を図示する。 |
| ②有事の初動対応を明確化する | ・初動の見える化 … ①で整理した内容をもとに、想定可能な範囲で有事の自社への影響を整理する。影響に応じて初動で行うことをリスト化し、優先度を付ける(初動で行うことはチェックリスト形式でまとめる)。 ・連絡先の確保 … 有事の際、すぐに連絡または相談できるよう、相手先との関係を事前に構築しておく。 |
| ③形骸化を防止する | ・訓練の実施 … 年に1回は実際にシミュレーションを行う(机上での読み合わせでも可)。また、可能であれば関係先へも協力を仰ぎ、相互に意見を交換して改善を図る(オープンにすることで、取引先や顧客からの信頼度向上にも寄与)。 |
*IPA「リスク分析シート」(中小企業の情報セキュリティ対策ガイドラインページ内、付録7) https://www.ipa.go.jp/security/keihatsu/sme/guideline/
4.最後に
セキュリティ対策の基本は、「事実の整理」です。また、セキュリティリスクは、“ゼロリスク”があり得ないことを認識し、有事は起きるという前提で、「いかに早く復旧できるか」の思考が事業存続の命運を分けます。
想定や思い込みを排除し、しっかりと事前準備を行うことで、同業他社の水準にとらわれないセキュリティ対策に取り組んでいきましょう。
この記事はPDF形式でダウンロードできます
SMBCコンサルティングでは、法律・税務会計・労務人事制度など、経営に関するお役立ち情報「Netpress」を毎週発信しています。A4サイズ2ページ程にまとめているので、ちょっとした空き時間にお読みいただけます。
プロフィール
SMBCコンサルティング株式会社 ソリューション開発部 経営相談グループ
SMBC経営懇話会の会員企業様向けに、「無料経営相談」をご提供しています。
法務・税務・経営などの様々な問題に、弁護士・公認会計士・税理士・社会保険労務士・コンサルタントや当社相談員がアドバイス。来社相談、電話相談のほか、オンラインによる相談にも対応致します。会員企業の社員の方であれば“どなたでも、何回でも”無料でご利用頂けます。
https://infolounge.smbcc-businessclub.jp/soudan
関連キーワード
コンプライアンス・リスク対応 経営者・経営幹部・管理職
InfoLoungeとは
ログインでお困りの方
