サプライチェーンに潜むリスクと防御の方法

新型コロナウイルスの世界的な感染拡大により、生産や物流が打撃を受け、製品や材料の供給に遅れが出たりストップしたりという状況が続いています。「サプライチェーン問題」や「サプライチェーンリスク」「サプライチェーン攻撃」という言葉が頻繁に聞かれるようになり、「サプライチェーン」が今までになく注目されていることがうかがえます。

従来から「サプライチェーンマネジメント」が存在していたように、サプライチェーンの管理はビジネス上、重要なものでしたが、最近では、サプライチェーンにおけるリスクを管理するという新たな視点が生まれています。

本コラムでは、サプライチェーンに潜むリスクにはどんなものがあるのかをその対策方法と併せてご紹介いたします。

【関連記事】
自社のセキュリティ強化だけではもう十分ではない！サプライチェーン攻撃とは

サプライチェーンとは、そもそも何か？

サプライチェーン（Supply Chain）とは、主に製造業において、製品の原料・材料などを調達するところから、製造、品質検査、在庫管理、配送、販売までの一連の流れを指し、日本語では「供給連鎖」と訳されます。

ただ、後述するサプライチェーン攻撃については必ずしも製造業を対象とした話ではなく、「取引先、委託先を踏み台としたサイバー攻撃」を指します。

サプライチェーンに潜む4つのリスク

平時はモノがスムーズに流れるサプライチェーンですが、冒頭でもお伝えしたように、非常時には機能しなくなる恐れがあります。

厚生労働省の資料によれば、サプライチェーンには、以下の4つのリスクが潜んでいます。

環境的リスク

まず、新型コロナウイルスのような感染症の世界的な大流行（パンデミック）や、東日本大震災に代表される大規模災害など、環境的な理由により供給の流れが途絶するリスクです。

たとえば、新型コロナウイルスの感染拡大で、外出制限により世界の工場が稼働を停止したり、輸出入を含め物流が鈍化しました。この影響で、日本ではトヨタ自動車が国内の一部工場の稼働を停止しました。
工場だけでなく、海運を担う港湾で感染者が出たことで操業が停止し、コンテナ船が止まってしまったことも大きな影響を及ぼしました。この影響で、米国のウォルマート社やホーム・デポ社が貨物船を直接チャーターするなどの対応に追われました。

また、大規模災害の影響では、2011年の東日本大震災によるサプライチェーンの混乱が記憶に新しいのではないでしょうか。この影響で、2021年までに2,000社以上の企業が倒産しました。倒産の要因としては、売上減少のほか、仕入れ先の被災による調達難も挙がっており、サプライチェーンの途絶が経営状況を大きく左右することがわかります。

同年、海外においては、タイのチャオプラヤー川流域で大洪水が起き、同国に生産拠点を持つ世界中の企業が影響を受けました。日本の生産における部品調達が困難になることからトヨタ自動車や日産自動車などが稼働時間を短縮して対応しました。また、パイオニアは、日本や中国、マレーシアで代替生産を行うことで対応しました。

上に挙げた例は製造業のみですが、今やどの業界においてもコールセンター部門を海外に移転したり、IT分野でのオフショアの活用など、労働力を海外に頼る企業は少なくありません。どの企業にも環境的リスクが降りかかる可能性を想定し、対策する必要があるでしょう。

地政学的リスク

地政学的リスクとは、テロや紛争、政治不安など、政治的、軍事的な理由によって生じるリスクのことです。たとえば、中東で紛争が起きて原油の供給が滞ると、石油関連の原料を使用していた商品の価格が上がったり、品薄になったりすることです。

また、米中間におけるテクノロジーをめぐる対立の深刻化も、この地政学的リスクに含まれます。これは、中国産の原料に追加関税がかかり、利益が下がったり、販売シェアが落ちこんだりといったマイナスの影響が生じます。

経済的リスク

経済的リスクには、リーマンショックなどの経済危機や、原料の価格変動などのリスクが該当します。

これにより、たとえば、仕入れ先の経営状況が悪化して部品が調達できなくなる、原料価格が高騰して原価が上がるといった影響が考えられます。

技術的リスク

技術的リスクとは、サイバー攻撃やシステムダウンなどのリスクのことです。
本当のターゲットである企業のセキュリティが堅いため、取引先でサイバーセキュリティ対策が甘いところを足掛かりに本丸を攻撃する「サプライチェーン攻撃」が増えています。

「サプライチェーン攻撃」という言葉はもともと、オープンソースソフトウェアに不正なプログラムを仕込んだり、正規のアップデートプログラムを乗っ取って悪用し、不正に侵入するといった手口を指すものでした。

「サプライチェーンリスクマネジメント」による対策

上記のようなリスクに対し、サプライチェーンリスクマネジメントによる対策が有効であるとされています。

サプライチェーンリスクマネジメントとは？

サプライチェーンリスクマネジメント（Supply chain risk management／SCRM）とは、上でご紹介したような、サプライチェーンに潜むさまざまなリスクをあらかじめ、特定・把握・評価しておき、サプライチェーンが途絶することのないよう、対策することをいいます。

これまでにも、「サプライチェーンマネジメント（Supply Chain Management／SCM）」という手法は存在していましたが、これは、サプライチェーンの流れを俯瞰し、全体を最適化するものでした。

「環境的リスク」でお伝えしたように、近年、リスクとして予想し切れていなかった世界規模の大きな出来事がサプライチェーンにマイナスの影響を与えており、サプライチェーンの見直しが求められています。

また、「技術的リスク」でお伝えしたような、取引先を経由したサイバー攻撃も増加しています。情報処理推進機構（IPA）が毎年、発表している「情報セキュリティ10大脅威」の2021年版では、「サプライチェーンの弱点を悪用した攻撃」が組織にとっての脅威として第4位にランクインしています。

サプライチェーンリスクマネジメントの大きな流れは以下の4ステップとなっています。
1．サプライチェーンの可視化・把握
2．リスクの分析・評価
3．リスクへの対応・対策
4．リスクの監視

サプライチェーンのサイバーリスクへの対策方法

サプライチェーンリスクマネジメントとは別に、サプライチェーン攻撃への対策方法としては「脆弱性診断」「次世代ファイアウォールの設置」「Webサイト改ざん検知」の3つがあります。

脆弱性診断

脆弱性診断とは、OS・ミドルウェア、ネットワーク、Webアプリケーションについて、それぞれに脆弱性がないかどうか、チェック・診断することをいいます。サイバー犯罪者は、既知の脆弱性を悪用して攻撃してくることも多く、自社が抱えているシステム上の脆弱性を把握しないまま事業を継続することは大きなリスクです。

比較的、安価に短期間で実施できる対策方法であり、また、OSやアプリケーションの最新版を保つことに次ぐ基本的な対策であるといえます。

実際にサイバー攻撃を受けてセキュリティインシデントが起きてしまう前に、脆弱性を把握し、対策を取っておくことが重要です。

【関連サービス】情報セキュリティソリューション

次世代ファイアウォールの設置

次世代ファイアウォールとは、従来のファイアウォールの欠点をカバーしたもので、具体的には、ポートやIPアドレス、プロトコルではなく、アプリケーションを識別したり、IPアドレス（端末単位）ではなく、ディレクトリサービスとWeb認証などの組み合わせでユーザーを識別します。

従来のファイアウォールでは、Webサイトの閲覧に使うポート、メール送信に使うポート、というように、アプリケーションごとに使うポートが決まっていたため、ほかのポートが通信に使用されていたら警戒するといった対策が取れました。しかし、近年では、アプリケーション側で使用するポートを動的に変えるものがあり、ポート番号ではアプリケーションを識別できません。また、通常使用しているポートを狙うサイバー攻撃も増えています。こうした状態では、従来のファイアウォールで不正な通信を検知することができません。

また、従来のファイアウォールでは、IPアドレス（端末単位）でユーザーを識別していましたが、同一の端末を複数人で使用したり、一人の従業員がPCとモバイル端末など複数の端末を使用するケースも増えてきました。同じ端末であっても、インターネットに接続するたびにIPアドレスが割り振られる「動的（可変）IPアドレス」の利用も増えてきました。

そのため、次世代ファイアウォールでは、「Microsoft Active Directory」などのディレクトリサービスと、キャプティブポータル（Captive Portal）などのWeb認証を組み合わせてユーザーの識別を行います。

その他、ユーザーがアクセスしても問題のない、リスクの低いWebページやのみにアクセスしているかどうかも識別します。
さらに、未知のマルウェアをふるまいから検出するサンドボックス機能を備えているものもあります。

【関連サービス】次世代ファイアウォールマネージドサービス Palo Alto Networks PAシリーズ

Webサイト改ざん検知

Webサイト改ざん検知とは、Webサイトを監視し、サイバー攻撃によってWebサイトが改ざんされていないかどうかをチェック・検知してくれるソリューションです。

Webサイトが改ざんされると、アクセスしたユーザーにマルウェアを感染させたり、ユーザーが入力した個人情報やクレジットカード番号などが窃取されたりします。
これを防ぐために、Webサイトの改ざん検知を行うことが重要です。

以上の3つの対策は、自社はもちろん、仕入れ先や生産の受託先など、取引のある企業でも実施を徹底しなければ、サプライチェーン攻撃を防ぐことはできません。

【関連サービス】Webサイト改ざん検知／瞬間復旧ソリューションPeacock tail

まとめ

サプライチェーンにおけるリスクには、「環境的リスク」「地政学的リスク」「経済的リスク」「技術的リスク」の4種類があり、国内外でのさまざまな出来事が、直接的、間接的に影響を及ぼす可能性があります。現代では、事業に必要な労働力や原材料などを海外に頼る企業は珍しくないため、上記4つのリスクを軸に、あらゆるリスクを想定して準備しておく必要があります。

4つのリスクのうち、技術的リスクについては、アイネスでもお客様に合わせて最適なソリューションをご提供しております。サプライチェーンにおけるサイバー攻撃やシステムダウンによるリスク回避をご検討のお客様は、ぜひお気軽にご相談ください。

ＩＴでお悩みのご担当者様へ

弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談ください。

お問い合わせ