サプライチェーン・デジタルリスク実態調査:サプライチェーンを脅かすデジタルリスクに企業はどう立ち向かうべきか
サイバー攻撃の増加により、企業はサプライチェーン全体のセキュリティ対策を強化する必要に迫られています。本稿では、サプライチェーンのデジタルリスクとその対策について、経営層80名、セキュリティ部門200名を対象とした実態調査結果をもとに解説します。
セキュリティレーティングサービスとは
近年、サイバー攻撃の高度化・増加により、企業における対策の必要性が増しています。
対策レベルの低いサプライチェーン上の企業を起点とし、最終的にターゲットとする企業の機密情報窃取やビジネス停止を狙うサイバー攻撃も増加しています。IPAが毎年公表している「情報セキュリティ10大脅威」では「サプライチェーンの弱点を悪用した攻撃」が2022年から3年連続で3位以内に入っています。
さらにDXの加速やサプライチェーンの多様化・複雑化が進んでいることから、サプライチェーン上のセキュリティリスク管理は、より一層難しくなることが予想されます。
サプライチェーン上のセキュリティリスクを把握し管理するため、「チェックシートを用いた対策状況の確認」を運用している組織も多くありますが、実際にはチェック結果の品質不足(回答の信憑性に不安がある、タイムリーなリスクの変化が捉えられない、など)や、自社内の工数や対象となる企業数が多くうまく機能しないといった課題を抱えています。
このような状況において、注目を集めているのが「セキュリティレーティングサービス」です。セキュリティレーティングサービスとは、外部から確認可能なセキュリティ関連情報(公開ウェブサイト情報、ネットワーク情報、ダークウェブ上の情報など)を基に、攻撃者と同じ目線で企業のセキュリティリスクを評価するサービスで、従来の人手でのチェックとは異なる以下のような特徴があります。
- 自社のみならず、他社の企業のセキュリティリスクを自動で評価できる
- 外部公開情報を基に評価することから、評価結果の品質にバラつきが生じにくい
- 脅威情報の変化、対策状況の変化に合わせ、リスクの変化をタイムリーに反映できる
セキュリティレーティングサービスは、セキュリティサービス市場の中で最も成長が期待されているサービスの一つで、日本国内の市場規模は2021年度から2027年度までの間に4倍に拡大すると予想されています(*1)。PwCが2024年に実施したアンケートでは43%の企業でリスクレーティングサービスが利用され始めていることも明らかになり、今後ますます有効な利活用が進むとの期待が高まっています(図表1)。
図表1:企業におけるデジタルサプライチェーン上のリスク可視化方法
セキュリティレーティングサービス活用の勘所
セキュリティレーティングサービスは、タイムリーかつ客観的、人手によらない自動評価という多くのメリットがある一方で、下記にあげる難所を理解した上で、適切に使いこなすことが重要となります。
①活用にあたっての難所
1.公開範囲によっては評価も限定的になる
一般的にIPアドレスやドメイン情報を基に評価することから、子会社と親会社が同じドメインを利用していると、セキュリティレーティングサービスを実施する際に判別が難しいといったことなどから、公開システムや公開ウェブ・ドメインの有無や関係によって、当該サービスによる評価結果が限定的になったり、詳細な結果が得られなかったりする可能性があります。
2.評価が困難な領域が存在する
客観的に評価可能なサービスであるものの、公開情報より評価を行うことから、その企業における統制状況や体制の規模感、業務や規定の整備状況、人員の持つ知見・対応レベルといった内部的な面の評価は困難といった点を理解しておく必要があります。
3.評価結果を読み解くために専門的なスキルが必要
セキュリティレーティングサービスは、それぞれのサービスごとに独自の算出ロジックによって、企業の危険度レベルなどを分かりやすく評価します。一方で、算出ロジックの一部として公開されるシステムの脆弱性など技術的な側面を取り扱うことから、評価結果の詳細を理解するには、一定のセキュリティ知見を有していることが求められます。
②活用にあたってのポイント
従来のチェックシートによる委託先評価では、セルフチェックによることから客観性に欠ける部分や、人手による作業で工数がかかるといった側面がありました。それらの課題に対してセキュリティレーティングサービスは効果的である一方で、うまく機能させるためにはポイントを押さえておく必要があります。全ての委託先に対して内部の評価結果まで詳細に得られるわけではないため、ツールによって評価する委託先の整理や、従来のチェックシートと当該サービスとの棲み分けをした上で、誰がどう評価するかといったことをユースケース別に区分したり、効果の高い活用方法を検討したりすることが重要となります。
③企業での活用事例
先進企業では、前述したセキュリティレーティングサービスの特性を踏まえ、活用に向けた取り組みを進めています。
クリティカルな問題を持つ取引先のスクリーニングとして活用
さまざまな事業を展開している企業では、企業の取引先数は多い場合で数万を超えます。これらの企業では数万ある取引先の中で、できるだけ工数をかけずに、クリティカルな問題を持つ企業を特定したいという課題を抱えています。そこで、生産影響のある企業に対象を絞る(1次スクリーニング)、レーティングサービスで一定の閾値以下の企業に絞る(2次スクリーニング)、そこからさらに取引先チェックシートにて詳細を点検する(3次スクリーニング)という運用を構築し、膨大なセキュリティ評価業務の簡略化に成功している事例があります。
レーティングサービスは決して万能ではありませんが、適用する範囲とそれに期待する目的を明確にすることで、よりスピーディーで効果的に取引先のセキュリティレベルを向上させることが期待できます。
PwCのセキュリティレーティングサービス活用支援
PwCコンサルティングでは、以下のような課題例に対して、レーティングサービスの活用構想や製品比較、運用プロセスの整備などを支援します。
取引先評価の運用効率化・自動化に向けた課題例
- 取引先の評価を表計算ソフトで管理しているが管理部門の業務負荷が高まっている
- レーティングサービスを導入したものの評価基準や是正措置が曖昧となっている
注釈
*1 経済産業省,2023年.「令和4年度サプライチェーン・サイバーセキュリティ対策促進事業(国内セキュリティ関連市場における製品・サービス提供者及び機器検証事業者に関する実態調査)」https://www.meti.go.jp/meti_lib/report/2022FY/000523.pdf
サプライチェーンセキュリティのトレンドと企業の在り方
インサイト/ニュース
40 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ (3)シンガポール
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
各国サイバーセキュリティ法令・政策動向シリーズ (2)インド
各国サイバーセキュリティ法令・政策動向シリーズの第2回目として、インド政府のデジタル戦略と組織体制、セキュリティにかかわる法律および規則とその動向などについて最新情報を解説します。
Loading...
