経団連梶浦氏と語るサプライチェーンセキュリティにどう取り組むか―今こそ求められるサイバーインテリジェンス

近年、デジタル技術を活用してビジネスを変革していくデジタルトランスフォーメーション（DX）に取り組む機運が、社会全体で高まっています。その一環で、データを中心に据えたビジネスへの転換を多くの企業が試みており、自社のサイバーセキュリティにも力を入れています。しかしながら、サプライチェーン全体を見渡すと、必ずしも全ての企業が対策に取り組めているわけではないでしょう。
自社のみならずサプライチェーン全体のサイバーセキュリティを確保するには、どのような対策を講じていく必要があるのか。日本経済団体連合会（以下、経団連）で企業のサイバーセキュリティ推進施策の策定を担い、また日本サイバーセキュリティ・イノベーション委員会（以下、JCIC）代表理事も務める梶浦敏範氏に、日本企業に求められるサプライチェーンのセキュリティについて伺いました。（本文敬称略）

対談者

一般社団法人日本経済団体連合会サイバーセキュリティ委員会サイバーセキュリティ強化ワーキンググループ主査
サプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）運営委員会議長
一般社団法人日本サイバーセキュリティ・イノベーション委員会代表理事
梶浦敏範氏

PwCコンサルティング合同会社テクノロジーコンサルティングパートナー
丸山満彦

（左から）梶浦敏範氏、丸山満彦

欧米で変わる経営者のセキュリティ意識を日本にも

丸山：
梶浦さんはJCICの代表理事のほか、経団連のサイバーセキュリティ委員会でサイバーセキュリティ強化ワーキンググループ（WG）の主査なども務めていらっしゃいます。その立場から、昨今の日本企業を取り巻くサイバー攻撃のトレンドをどのように捉えられていますか。

梶浦：
全体的に手口が巧妙になり件数も増えてきている中で、情報セキュリティ対策が強固とは言えない中小企業を対象にサイバー攻撃が行われ、サプライチェーン全体が機能を損なうような被害が顕在化してきています。市民生活の基盤や企業のビジネスプロセスがインターネットに大きく依存し、あらゆるモノやシステムが相互連携するようになっています。そのような社会は攻撃者の立場から見れば、攻撃ポイントが増え、1回の攻撃で広域にダメージを与えられる「攻撃効率のよい環境」です。企業は、基幹システムやIoT（Internet of Things）機器に対する攻撃はもちろん、利用するクラウドサービスのセキュリティ、サプライチェーンのセキュリティにも気を配る必要があります。しかし、日本企業は欧米企業と比較して、セキュリティ分野に対する予算配分が少ないという指摘が多方面から聞かれるのが実情です。

丸山：
かねてから、経営者とセキュリティ担当者の間には「言葉の壁」と「意識のギャップ」があり、経営者のセキュリティへの理解不足がボトルネックになっているとの指摘が絶えませんでした。ただし、こうした傾向は世界全体で見ると、徐々に変わりつつあります。米国の場合、社外取締役が株主の代表として、セキュリティ対策を経営戦略の最優先事項に盛り込むよう要求するケースが増えています。PwCが毎年実施している「世界CEO意識調査」では、北米と西欧の企業のCEOは潜在的な脅威のトップに「サイバー攻撃」を挙げています^*1。

梶浦：
サイバー攻撃が年々深刻化し、経営者は否が応でもその脅威に向き合わざるを得ない時代になっています。日本も他人事ではありません。経営者のセキュリティ意識向上のため、経団連は2018年に「経団連サイバーセキュリティ経営宣言」^*2を発表しました。ここでは、攻撃の特定・防御だけでなく、検知・対応・復旧も重視した上で、早期回復に向けた事業継続計画（BCP）の策定や、経営者が率先して社内外のステークホルダーに意思表明を行うなど、経済界が全員参加でサイバーセキュリティに取り組むことを宣言しました。リスクマネジメントプロセスの明確化やデータ保護・情報セキュリティ対策は、企業ガバナンスの観点からも最重要項目です。これを企業風土として定着させるには、経営者が経営幹部に対して「サイバーセキュリティは経営課題である」と説き、その実践を促すことが重要です。

一般社団法人日本経済団体連合会サイバーセキュリティ委員会サイバーセキュリティ強化ワーキンググループ主査梶浦敏範氏

PwCコンサルティング合同会社テクノロジーコンサルティングパートナー丸山満彦

経営者同士が「DX with Security」を共有してビジネス成長を

丸山：
先ほどのお話でもあった「サプライチェーンのセキュリティ」について伺います。経済産業省や主要経済団体が中心となって、2020年11月に「サプライチェーン・サイバーセキュリティ・コンソーシアム（以下、SC3）」が設立されました^*3。梶浦さんもSC3設立にご尽力されたそうですね。SC3設立の背景には、やはりサプライチェーン攻撃の深刻化があるのでしょうか。

梶浦：
そうですね。SC3は主要経済団体のリーダーシップの下、多様な産業分野の団体が集結し、サプライチェーン全体でのサイバーセキュリティ対策の推進を目的に設立されました。サプライチェーン攻撃の特徴として、中小企業システムの脆弱な部分を突いてくることが挙げられます。つまり、中小企業のセキュリティ対策強化が、サプライチェーン全体を守ることにつながるのです。

丸山：
サプライチェーン攻撃に対峙するためには、自社だけでなく、部品の調達先や、さらにその企業と取引をしている「その先の企業」のセキュリティ対策も担保する必要があります。しかしながら、「他社のセキュリティ対策を把握・強化する」ことは、一筋縄ではいかないのではないでしょうか。

梶浦：
おっしゃるとおりです。そのためSC3は、企業のリスクマネジメント強化のための基本行動指針を設定しました。内容は、情報の「共有」「報告」「公表」です。サプライチェーン攻撃への対策で重要なのは、情報共有です。例えば、海外を経由した攻撃の情報を、SC3の基本行動指針に則って業種・業界を問わず共有し、情報の流出が懸念される際は経済産業省に報告し、適宜公表することで、同じ拠点からの新たな攻撃にサプライチェーン全体で備えるのです。

日本企業は伝統的に、製品の「質」に非常にセンシティブです。その意識を、セキュリティ対策にも同様に向けなければなりません。サプライチェーンを構成する各者が健全な危機意識を持って、主体的にサプライチェーンのセキュリティ向上に取り組んでほしいと思います。

丸山：
そこでカギを握るのは、経営者同士の対話ではないでしょうか。例えば、サプライチェーンを構成する企業Aの調達部門と企業Bの営業部門がサプライチェーンセキュリティの話を詰めるとします。購入側も納入側もサイバーセキュリティが経営課題であることは理解していても、現場の担当者同士が、具体的なセキュリティ対策や、インシデントが発生した際の責任分界点を決めることは不可能です。

梶浦：
そのとおりです。そうした話ができるのは現場担当者同士ではなく、経営者同士です。私は企業と話をする際、「『DX with Security』でビジネスを成長させる必要がある」とよく説明しています。DX推進でグローバル規模の競争に乗り遅れないようにするのはもちろん重要ですが、そこにセキュリティが担保されていることが大切であるということです。

丸山：
DXの実現は「デジタルデータがセキュアである」ことが大前提ですからね。人工知能（AI）でデータを分析して知見を得るにしても、大元のデータが改ざんされていれば、誤った結果を導き出してしまいます。制御機器プログラムのソースコードが悪意ある人間によって書き換えられれば、大事故が引き起こされかねません。顧客に被害を与え、会社の信頼を失墜させないために、セキュリティ対策にDXと同じ熱量で取り組む必要があります。

サイバー攻撃への対応にサイバーインテリジェンスの活用を

丸山：
サプライチェーン攻撃に限りませんが、サイバー空間では「攻撃者優位」が指摘されています。攻撃者は、対象に複数存在する脆弱性を調べた上で、一点集中で攻撃を仕掛けてきます。防御側は、攻撃に上手く対処できたと思ったら今度は新たな攻撃に見舞われるといった具合に、常に対応に追われているのが現状です。

梶浦：
攻撃者はダークウェブなどで情報を共有／売買しています。さらに近年では国家が関与していると思われる大規模攻撃も多数見受けられ、その情報収集力は群を抜いています。ですから、とても民間企業一社で対峙できるものではないのが、現代のサイバーセキュリティです。

丸山：
こうした状況を打破するには、防御側が一丸となって敵の情報と動向を把握・分析して対策する「サイバーインテリジェンス」が求められますね。最近ではその具体的なアプローチとして、攻撃の兆候を察知するためにネットワーク内部に潜む脅威を監視し、マルウェアの挙動を分析して駆除する「アクティブディフェンス」の有用性が取り上げられています。

梶浦：
サイバーインテリジェンスで重要なのは「アンティシペーション（予測）」と「アトリビューション（特定）」です。攻撃者優位である以上、たとえ被害を小さくすることができたとしても、被害が顕在化した時点で勝負は決しています。ですから、敵が攻撃態勢に入ったら即座に検知して適切な対応ができるような仕組みは必要だと思います。

総務省の情報セキュリティアドバイザリーボードは、講ずべき対策として「プロアクティブな対応を可能とするための研究開発の推進」を挙げています。そこでは、「ICT環境の変化に対応して被害を未然に防ぐプロアクティブな対策を、総力を挙げ講じることにより、万全のサイバーセキュリティを確立することが必要不可欠」との方針を掲げています^*4。サイバー空間は陸・海・空・宇宙に続く「第五の戦場」と言われています。国策としてのサイバーセキュリティを考えた時、どのようなレベルで実現するのかは政府や法曹界で議論する必要がありますが、攻撃者優位を覆すという観点からも、アクティブディフェンスについては議論の余地があるかと思います。

丸山：
政府は、欧米やASEAN諸国と国際連携を進め、アクティブディフェンスの取り組みを進められていると聞いています。中小企業を含めサプライチェーン全体を構成する企業がサイバーインテリジェンスを強化し、攻撃を未然に防ぐことができるよう、私たちも支援していきたいと考えています。本日はありがとうございました。