サプライチェーン・デジタルリスク実態調査:サプライチェーンを脅かすデジタルリスクに企業はどう立ち向かうべきか
サイバー攻撃の増加により、企業はサプライチェーン全体のセキュリティ対策を強化する必要に迫られています。本稿では、サプライチェーンのデジタルリスクとその対策について、経営層80名、セキュリティ部門200名を対象とした実態調査結果をもとに解説します。
はじめに:デジタル社会の変容とサプライチェーンの脅威
近年、デジタル社会の急速な進展によって企業間のつながりが強化され、企業における責任範囲の境界線を明確に引くことが難しくなっています。サイバー攻撃の手法も高度化・多様化しており、特にサプライチェーン上の企業を狙った攻撃が増加しています。国際的な緊張が高まる中で、国家間の対立がサイバー攻撃の増加に拍車をかけており、重要インフラや経済活動を狙った攻撃も増えています。企業は国際的なサイバー脅威に対しても対策を講じる必要があります。
また、このような状況を受けて各国政府や国際機関はサイバーセキュリティに関する規制やガイドラインの策定の動きを強化しています。企業はこれらの規制に対応してサプライチェーン全体のセキュリティ対策を実施することが求められていますが、ひとたび脆弱点を狙われるとサプライチェーン上の企業は連鎖的に被害を受けることとなるため、サプライチェーンセキュリティの対策は一企業のみによって実現できるものではなく、社会的にも大きな課題となっています。
サプライチェーンリスクに対する企業の考え方を把握するため、PwCコンサルティング合同会社は株式会社日経BPのオンラインメディアである「日経クロステック」と共同で、サプライチェーン(調達先や業務委託先)を統制する立場にある日本企業の経営層80名、セキュリティ部門200名を対象にアンケート調査を実施しました。本稿では、その調査結果に基づき、今日の企業が直面しているサプライチェーンセキュリティのリアルな実態に迫るとともに、企業がとるべき対策についてご紹介します。
1. 経営層に対するアンケート調査結果
サプライチェーンを脅かすデジタルリスクが高まっている
サプライチェーン上のリスクのうち「デジタルリスク(サイバー攻撃、IT障害等)」を懸念していると回答した経営層が最も多く57.5%、次いで「コンプライアンスリスク」が41.3%、「自然災害パンデミック」が40.0%と続きました。この結果を踏まえても、サイバー攻撃をはじめとするデジタルリスクへの懸念が顕著に高まっていることがうかがえます(図表1)。
このようなデジタルリスクの高まりは、サプライチェーンのデジタル化と相互接続の加速が原因と考えられます。現代のサプライチェーンは効率性向上とコスト削減のため各プロセスが高度にデジタル化されています。製造から物流、小売りに至るまで多くの企業がクラウドベースのシステムやIoTデバイス、ERP(企業資源計画)システムを活用し、情報のリアルタイム共有を実現しています。しかしこの相互接続性が一方で新たな攻撃リスクを助長させ、サイバー攻撃者にとって魅力的な標的になっていることも事実です。また攻撃者は従来の手法にとどまらず、比較的セキュリティレベルの低い下請けやパートナー企業を攻撃の入り口とし、最終的に大企業への攻撃を成立させることを常套手段としつつあります。
図表1:経営層が懸念するサプライチェーン上のリスク
サプライチェーン先での情報漏洩やデジタル法規制の違反が大きな懸念事項に
企業が抱えるサプライチェーン上のデジタルリスクは多岐にわたります。中でも、「関係会社や外部委託先を経由した情報漏洩」を危惧する経営層が48.8%と、大きな割合を占めています(図表2)。
サプライチェーンリスクの特性として、自社や直接の取引先が信頼できたとしても、信頼できない取引先が1社でもあると、バリューチェーンを通じて脅威・被害が波及する点があります。特に自社が委託している情報に対する統制は、直接自社が統制をかけることができない領域であり、手薄になりがちです。実際に近年では、委託先の社員が大量の個人情報を不正に持ち出す、委託先がサイバー攻撃を受けて自社の機密情報が漏洩する、といった事案が多く発生しています。
また、「国内外の関連法規制の違反」への危惧も、30.0%と割合が大きくなっています。これには、「ネットワーク・情報システムの安全に関する指令(NIS指令)」の修正であるNIS2指令の制定や「Cyber Resilience Act(サイバーレジリエンス法)」、日本においては経済安全保障推進法など、グループ会社や取引先企業全体で守る必要のある法規制が成立している背景があると考えられます。
図表2:経営層が危惧しているデジタルリスク
サプライチェーン・デジタルリスク対応の実態
「サプライチェーンのデジタルリスクに課題がある」と回答した企業に対し、デジタル統制(デジタルガバナンス)に関して、どのような対応を行っているかを聞いたところ、「契約書によって、縛りを設けている」と回答した経営層が30.0%と最も多い結果となりました(図表3)。
契約書は法的拘束力を持ち、明確な基準を設定できます。契約書にセキュリティ要件を明記することで、外部委託先やサプライヤーに対して具体的なセキュリティ対策を義務付けることが可能となります。取引先のセキュリティ対策を間接的に促すことで、情報漏洩やサイバー攻撃のリスクを低減することにつながります。
また「認証取得を促している」「ツール(セキュリティレーティングツール等)を導入運用している」「取引先チェックシートによる自己点検を行っている」が27.5%と続いており、間接的なセキュリティレベルを強化するために、各企業が創意工夫を凝らしている様子がうかがえます。
図表3:経営層が考えるデジタル統制に関する対応
一見するとこのような対策によって、企業のサプライチェーンリスクを低減できているように見えますが、多くの企業では対策を一定程度実行しているものの、サプライチェーン全体のセキュリティレベルをなかなか高められていないのが実情です。
2. セキュリティ部門に対するアンケート調査結果
日本企業が抱えるサプライチェーンリスク管理の問題
デジタルサプライチェーン上のリスク可視化に課題があると回答した企業のセキュリティ部門に対し、取引先企業に対して何らかの要求を行う際に考慮するリスクを聞いた結果、「法的リスク(下請け法への抵触、契約違反など)」との回答が50.0%と最も多く、「信頼関係、取引機会の損失のリスク」が36.5%と続きました(図表4)。
企業において、取引先はビジネスを成長させる上で重要なキーファクターとなります。取引先企業との関係性が悪化すると最悪の場合、重要な資材や部品、ソフトウェアの調達が難しくなり、業界内での競争優位性にまで影響する可能性もあります。米国などのような契約社会ではないため、日本企業においては、日頃から取引先と親密なコミュニケーションを行い、関係性に注意を払いながら、慎重に対応することが求められていると考えられます。
このことから、多くの企業では、取引先企業に対して強制力を持って対応を依頼できない/できていないという課題もあり、他企業に対する要求が必要なサプライチェーン特有の課題も大きな障壁となっています。
図表4:セキュリティ部門が考えるデジタル統制に関する対応
また、デジタルサプライチェーン上のリスク可視化における課題としては、「データの正確性(取引先企業の回答の信憑性)の担保」(61.5%)、「可視化に伴うルールやオペレーションが不透明」(43.0%)、「企業の数が多いこと、業種業態パターン数が膨大であり、適切な手法が不明瞭」(40.5%)という結果になりました(図表5)。
図表5:デジタルサプライチェーン上のリスク可視化における課題
上記のような難しさが障壁となり、日本企業はサプライチェーンリスク管理に多くの問題を抱えています。サプライチェーン(調達先や業務委託先)を統制する立場にある回答者に対し、取引先企業にてインシデントが発生した際の対応プロセスがどの程度整備されているかを聞いたところ、「大まかなガイドラインはあるが詳細なプロセスはない」「プロセスが全く定められていない」「分からない」と回答した合計が6割を超えており、サプライチェーン全体を意識したリスクガバナンスは、未だ発展途上であることが読み取れます(図表6)。
図表6:取引先企業でインシデントが発生した際の対応プロセス整備状況
3. サプライチェーン・デジタルリスクに課題があると回答した経営層に対するアンケート調査結果
企業はどう立ち向かうべきか?解決の方向性
それでは、サプライチェーンに対して統制する立場にある企業は、どのようにしてデジタルリスク強化を図れば良いのでしょうか。
「サプライチェーンのデジタルリスクに課題がある」と回答した日本企業の経営層56名に対し、どのような打ち手が必要と考えているかを聞いたところ、「リスクに応じて濃淡をつけた統制(ガバナンス)強度の設定」が必要と回答した経営層が53.6%と最も多い結果となりました。総花的なリスク対応ではなく、優先リスクへの実効的な対応を多くの企業が重視していることがこの結果から読み取れます(図表7)。
濃淡をつけた統制(ガバナンス)強度の設定を重視する背景には、前述した課題である、サプライチェーン可視化における幅の広さ(どこまでをスコープとして管理すれば良いかが不透明であること)があると推察されます。自社を取り巻くサプライチェーン全てに一律の対策を講じることは非常に困難です。サプライチェーンを統制する企業は、まずサプライチェーンを分類し、取り扱う情報やサービスの重要性(例:保有情報や事業規模)などを捉えた上で、濃淡のあるリスク対応を行うことがファーストステップとなるでしょう。
濃淡のあるリスク対応の実現に向け、例えば以下のようなアプローチが有効です。
- 全体像の可視化・スコープ定義:
サプライチェーンの全体像を整理し、自社における重要なサプライチェーン(重要業務、重要な委託先、重要な部品など)を定義する - 事業環境を踏まえたリスク分析:
ガイドライン(モノサシ)へのFit&Gapだけでなく、事業環境(取り扱う情報、システム環境など)を勘案したリスク分析と掘り下げを行う - 課題の抽出・優先課題の設定:
可視化したリスクに対して課題を抽出し、課題の優先順位を設定する - 優先課題への取り組み:
サプライチェーンを脅かすクリティカルなリスク・課題に対し、優先的に経営リソース(ヒト・モノ・カネ)を投入して推進する
必要な打ち手としては、その他にも「取引先との定期的なコミュニケーション機会(定期ミーティング、勉強会)の設置」(41.1%)が続いています。従来のような「一律的なセキュリティ要求リストを用意し、あとは取引先の選定および契約で縛る」といった役割分担論主体のガバナンスではなく、実務的な連携を通じた共助体制の構築が重視されていることが、この結果から分かります。
取引先とのコミュニケーションにおいては、対策にかかるコストや取引先の体力を理解し、関係者における合意を取るための工夫や配慮が大切です。例えば「シンプルで分かりやすいルール設計」を意識し、取引先に合理的な範囲を超えた要求を行うことがないよう方針を展開する、他にも「自律的統制を促すような教育と研修」を意識し、実行に向けた助言を行っていく、などの工夫が有効です。
図表7:経営層が考える課題解決に必要な打ち手
サプライチェーンリスク対応に挑む企業の先進事例
サプライチェーンリスク管理の体制やプロセスが一定レベルに成熟してきた企業は「効率化」や「自動化」に取り組み始めています。そこで新たな武器として注目を集めているのがレーティングサービスです。レーティングサービスは、攻撃者と同じ目線でサプライヤーのリスクを評価・スコアリングするサービスであり、サプライチェーンマネジメント市場の中で大きな成長が期待されています。
レーティングサービスは、タイムリーかつ客観的、人手によらない自動評価という多くのメリットがある一方で、以下に挙げるような難所をあります。これらを理解し、適切に使いこなすことが重要です。
- 公開範囲によっては評価も限定的になる
一般的にIPアドレスやドメイン情報をもとに評価することから、子会社と親会社が同じドメインを利用しているとセキュリティレーティングサービスから見て判別が難しいといったことがあり、公開システムや公開Web・ドメインの有無や関係によって、当該サービスによる評価結果が限定的になるなど、詳細な結果が得られない可能性があります。 - 評価が困難な領域が存在する
客観的に評価可能なサービスであるものの、公開情報をもとに評価を行うことから、その企業における統制状況や体制の規模感、業務や規程の整備状況、人員の持つ知見・対応レベルといった内部的な面の評価は困難である点を理解しておく必要があります。 - 評価結果を読み解くために専門的なスキルが必要
セキュリティレーティングサービスは、それぞれのサービスごとに独自の算出ロジックによって、企業の危険度レベルなどを分かりやすく評価します。その一方で、算出ロジックの一部として公開されるシステムの脆弱性などの技術的な側面を取り扱うことから、評価結果の詳細を理解するには、一定程度のセキュリティ知見を保有していることが求められます。
一部の先進企業では、レーティングサービスの活用を進めており、例えば「クリティカルな問題を持つ取引先のスクリーニング」をレーティングサービスで実現している事例があります。さまざまな事業を展開している企業の取引先数は、多い場合で数万を超えます。これらの企業では、できるだけ工数を掛けずに、数万ある取引先の中からクリティカルな問題を持つ企業を特定したいという課題がありました。そこで、生産影響のある企業に対象を絞る(1次スクリーニング)、レーティングサービスで一定の閾値以下の企業に絞る(2次スクリーニング)、そこからさらに取引先チェックシートにて詳細を点検する(3次スクリーニング)という運用を構築し、膨大なセキュリティ評価業務の簡略化に成功しました。
レーティングサービスは決して万能ではありませんが、適用する範囲と、期待する目的を明確にすることで、よりスピーディかつ効果的に取引先のセキュリティレベルを向上させることができます。従来は会社独自でチェックシートを作成し、取引先の評価を行うことが一般的でしたが、レーティングサービスの台頭により、取引先のチェック運用を専門サービスに任せていく流れが一気に加速しました。社内で独自に策定した取引先チェックシートや評価運用業務は廃止され、取引先評価は専門サービスに一本化される未来もそう遠くないかもしれません。
まとめ
サプライチェーンを脅かすデジタルリスクが高まっています。取引先の1社が攻撃を受けるだけで自社が操業停止に陥ってしまうケースもあり、サプライチェーン全体を意識したリスクガバナンスは経営課題の1つになっています。課題は多岐にわたるため、総花的なリスク対応ではなく、クリティカルなリスクを見極め、より実効性のあるリスク対応を意識する必要があります。取引先とのコミュニケーションにおいては、対策にかかるコストや取引先の体力を理解し、合意を取るための工夫や配慮を行うなど、今まで以上に踏み込んだガバナンスが求められています。
また、政府や自治体、業界全体との連携を強化し、標準ガイドラインの策定とその周知を進めることが重要です。これにより、サプライチェーン全体のセキュリティを向上させ、デジタルリスクに対処することが可能となります。
サプライチェーン・リスクマネジメントは長い道のりになることを覚悟しなければなりません。検討・推進に2、3年のロードマップを掲げる企業も少なくありません。工数も時間も膨大に掛かるからこそ、初めから100点を目指すのではなくスモールスタートで、一歩一歩、成果を出していくことが重要です。
調査概要
調査実施時期:2024年10月
回答者数:役員層80名 セキュリティ部門・リスク管理部門担当者200名
調査方法:Web調査
対象:売上100億円以上の役員層およびセキュリティ部門・リスク管理部門担当者(※本文ではまとめて「セキュリティ部門」とした)
【セミナー】サプライチェーン・デジタルリスク -サイバー攻撃やデジタル法規制に迅速に対応するレジリエントなサプライチェーンの構築-
オンデマンド配信:2024年10月29日(火)~2025年3月31日(月)17:00
本セミナーでは、サプライチェーン上のデジタルリスクに焦点を当て、具体的なリスクや、ガバナンスを効かせるにあたっての課題や障壁、解決に向けた先進的な取り組み事例を交え、サプライチェーンのデジタルレジリエンスの高め方について解説します。
サプライチェーンセキュリティのトレンドと企業の在り方
インサイト/ニュース
40 results
Loading...
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
各国サイバーセキュリティ法令・政策動向シリーズ (2)インド
各国サイバーセキュリティ法令・政策動向シリーズの第2回目として、インド政府のデジタル戦略と組織体制、セキュリティにかかわる法律および規則とその動向などについて最新情報を解説します。
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
Loading...
