サプライチェーン・サイバーセキュリティ

企業を取り巻くサプライチェーンはデジタル化やグローバル化の潮流を受け、複雑化しています。サプライチェーンを狙ったサイバー攻撃も日々、高度化・巧妙化しており、取引先や関係会社の1社が攻撃を受けるだけで自社が操業停止に陥ってしまうケースも少なくありません。このような状況下で、各企業のサプライチェーンへのセキュリティ統制を「どの範囲」で「どのレベル」まで効かせていくかが、対策の検討・推進にあたって大きな課題になっています。本サービスは、サプライチェーン上のセキュリティリスクにフォーカスをあて、セキュリティ成熟度評価から管理体制・業務プロセスの構築、ツールの導入・活用までを支援します。

サプライチェーンに関わるサイバーインシデントが多数発生

サプライチェーンを悪用したサイバー攻撃の被害は近年頻繁に確認され、懸念が高まっています。具体的には、標的とする組織を直接狙わずに、セキュリティ対策が比較的手薄な関係組織を踏み台とする攻撃や、幅広く使用されるソフトウェアやハードウェア、サービスのサプライヤーを侵害し、そのユーザー企業に被害をもたらす攻撃などが該当します。サプライチェーンに関わるサイバーインシデントには次のようなものがあります。

委託先従業員の故意・過失による情報漏洩
グループ会社の脆弱なサーバーを経由したマルウェア感染
部品調達先へのサイバー攻撃による業務・工場ラインの停止
納品前の段階で組み込まれたバックドアからの不正アクセス
ソフトウェアアップデートの改ざんによる利用者環境へのマルウェア配布

サプライチェーンに取り組む企業の課題

サプライチェーンセキュリティに対する取り組みが求められる一方で、各企業は「サプライチェーン可視化の幅（どこまでをスコープとして管理すればよいか）」や「統制の強度・深さ（どの程度のレベルで統制を効かせるか）」、「対策検討・推進にかかるマンパワー、運用工数の負荷」などに課題を感じています。

サプライチェーンセキュリティへの取り組みアプローチ

サプライチェーンセキュリティは、関係組織・リスク・企業が持つ課題が多岐にわたるため、リソースが限られる中で全ての課題対して対策を推進するのは限界があります。取り扱う情報やサービスの重要性（例．保有情報や事業規模）などの全体像を捉えたうえで、濃淡をつけた実効性のあるリスク対応を行うことが重要です。

また、従来のような「一律的なセキュリティ要求リストを用意し、あとは取引先の選定および契約で縛る」といった役割分担論主体のガバナンスは限界を迎えています。委託先に求められるセキュリティ対応について、対策にかかるコストや取引先の体力を理解し、関係者における合意を取るための工夫やコミュニケーションが大切です。

PwCサービス

「サプライチェーンセキュリティ対策でどこから手を付け始めればよいか分からない」「管理体制・業務プロセスを作りたい」「取引先管理に関する業務負荷を減らしていきたい」などのさまざまな要望に応じて、PwC Japanグループではサプライチェーンセキュリティのプロフェッショナルが成熟度評価から管理体制・業務プロセスの構築、ツールの導入・活用までを支援します。