サイバーセキュリティのサプライチェーンマネジメント

2020年6月24日

日本経済産業省の「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」の発表に見られるように、セキュリティ対策においてサプライチェーンマネジメント(以下SCM)の必要性が論じられるようになってきました。

◆なぜ今セキュリティSCMが注目されるのか
 企業は経済活動を行う上で原材料や部品の調達、製造、管理、配送、販売、消費といった活動を行い、受注側/発注側として様々なサプライチェーンの中に組み込まれています。
 一方で、近年あらゆる業界において、災害対策に伴った働き方の見直しや効率化のための業務の情報化が推進され、業態もデジタル移行が進んでいます。結果として情報セキュリティインシデントが発生した場合の想定損失は年々増大しており、セキュリティ対策があらゆる企業において差し迫った問題になってきました。
 この変化に伴い、大手や委託元の立場としては自社のセキュリティレベルを高めるにとどまらずサプライチェーン全体のセキュリティレベルを見直す必要が生じています。そういった意向をうけ、委託先となる中小企業や子会社においても、これまで通り自社の事業規模に合わせたセキュリティ対策を行うのみならず、サプライチェーンの一角を担うために必要なレベルの対策を実施することが責務となると予想されます。

◆サプライチェーンマネジメントに関わる情報セキュリティ被害例
 情報セキュリティのSCMが不足するとどのような事態が生じうるのでしょうか。
大きく2つ、サプライチェーン上の組織における内部不正により被害が出るケースと、サプライチェーン上の組織における脆弱性をつかれたサイバー攻撃により被害がでるケースについて、代表的な事例も踏まえて以下で紹介します。

① SCM内の内部不正に伴う被害
 委託先やグループ会社における内部不正により情報漏洩が発生するという事例は、2014年に発生した通信教育大手の顧客情報漏洩により世間に広く認識されました。当該事件では、業務委託先であるグループ会社社員が故意に5万件近くの顧客情報を持ち出し、一部を名簿業者3社に売却していました。当該社員は不正競争防止法違反として有罪判決を受けましたが、委託元もイメージ悪化による顧客離れから、一時的に赤字経営に転落するなど非常に影響の大きい事件となりました。
 この事例に見るように、報道においては委託元企業や親会社の責任がアピールされる傾向があり、委託元・親会社にとっては一概に委託先・子会社の責任を問い、賠償金を回収できればよいという問題ではないことがわかるかと思います。一方で、委託先や子会社の立場としても、被害を出した際には委託元や親会社も巻き込んだ問題に発展することを意識する必要があるということが理解できるかと思います。

 また同年、大手電機メーカーAの半導体製造に関わる重要情報を提携先Bに勤務していたエンジニアが、不正に持ち出し、転職先の海外企業Cに提供するという事例がありました。手法としては、当時の勤務先B社の提携先であったA社の工場にて、営業秘密ファイルをUSBメモリにコピーして持ち出すというシンプルなものでした。当該エンジニアが不正競争防止法違反として実刑判決を受けた一方で、この事件はA社からC社への国際訴訟にも発展しました。
 当該事件においては流出した情報が自社のものであったため、A社は損害賠償やレピュテーションリスクというよりも市場を奪われるという形で実害を被りました。その想定額は当初A社がB社にもとめた1000億の損害賠償から見ても大きなものであったことが推測されます。

② SCM内の組織へのサイバー攻撃(サプライチェーン攻撃)に伴う被害
 近年の大規模な事例では、国内某企業の防衛関連担当部門に対し、某国のサイバーテロ集団とみられる組織から、国家防衛情報の流出を狙った攻撃が仕掛けられました。
 国内某企業への不正アクセスは中国にある関連会社がマルウェア侵入を許したことに端を発しており、侵害は日本全国の拠点に拡大しました。攻撃者はアカウントを乗っ取り社内ネットワークに侵入し、最終的には機密情報に触れる権限のあるユーザの端末への侵入を半年以上にわたり攻撃を繰り返していたということです。
 情報セキュリティの黎明期においては、大企業や国家機関においても対策が万全ではなく、攻撃者はターゲット組織に直接攻撃をしかけることでその目的を達成できるできる可能性がありました。しかし近年では、そのようにサイバー攻撃によって大きな損害を被りうるような組織では、経営課題としてセキュリティ対策に取り組み、攻撃者にとっては正面突破が困難になっています。
 結果として、最終ターゲット組織の関連するサプライチェーン、つまり取引先や発注先、関係会社のうち、セキュリティ強度が弱い組織を踏み台とする方法が取られ始めました。特に中小企業においては大企業ほどの厳密なセキュリティ対策が行われていないことが多く、踏み台として利用されやすい状態にあると言えます。

 これらはニュースでも大々的に取り上げられた大規模な事例ですが、このような大規模な被害に限らなくても、情報セキュリティ関連の被害はどの業界でも無視できないものになっており、サプライチェーンまで視野にいれたマネジメントは今後より一層の課題となっていくことが予想されます。

◆リスクの種類と対策
 それでは、情報セキュリティのSCMについて、各社がとれる情報はどのようなものがあるでしょうか。多くの企業は、サプライチェーンにおける受注サイドであると同時に発注サイドであり、顧客であると同時にサービス提供者でもあるため、両方の立場での対策を検討する必要があります。とはいえ、とれる対策はそれぞれ基本的なものです。

 ●委託側のリスクと対策
  委託側としてみた場合、サプライチェーンまで視野にいれたセキュリティレベルは、コントロールのしづらさが課題となってきます。

 ・発注先の選定において、ISMS、CSMS、P マーク(日本)など各種認証・制度取得状況に留意する。
 ・契約前・契約締結時にセキュリティ要求事項を明確に提示し、双方の責任範囲の認識を合わせる。
 ・委託先によっては契約期間中における点検、評価、監査を主導して実施する。
 ・委託先のセキュリティ環境を完全に信頼せず、脆弱性がある可能性を考慮して自社側でセキュリティ対策をとる。(最小限の情報を渡す、万が一侵入されたときに自社が被害を被らないよう内部・出口のセキュリティ対策を万全にする、等)
 ・情報漏洩の可能性に備え、委託先にセキュリティ保険加入を検討させる。

 ●受託側のリスクと対策
  自社の脆弱性が攻撃に利用されたり、自社における内部不正により委託元が被害を被った場合、関係先との関係悪化にともなう取引停止はもちろん、損害賠償請求に至ることもあります。
  したがって、攻撃に悪用されるようなセキュリティの弱点を残さないこと、次に攻撃に悪用された場合に「侵入はされたが、適切な対応はとっていた」と認められるような常識的セキュリティ対策(物件の賃貸契約でいうところの善管注意義務)が必須となります。具体的には以下の対策が推奨されます。

 ・契約前・契約締結時にセキュリティ要求事項を明確にし、自社の責任範囲の認識を合わせる。
 ・契約に明記されたセキュリティ要求事項の他、各種ガイドラインに基づき社会的に「対策できていて当たり前」とみなされる対策を行う。
 ・ISMS、CSMS、P マーク(日本)など各種認証・制度導入をすることが推奨される。
 ・情報漏洩の可能性に備え、サイバーセキュリティ保険加入を検討する。

◆最後に
 社会と産業の変化とともに自社の経営継続だけでなく、サプライチェーンまで念頭に置いたセキュリティ対策のレベル設定が求められる流れが生まれています。一定以上のセキュリティ対策をとっていることは、これまで以上に委託先選定基準の一つとして必須項目と捉えられ得るでしょう。
 裏を返せば、これまで一部の業界を除いては“護り(まもり)”のためのものを思われてきたセキュリティ対策ですが、高い対策基準を有していることがビジネスを行う上での強みになる、セキュリティ対策を“攻め”の戦略として実施する時代が来たとも言えるかもしれません。

<参考情報>
https://www.j-cic.com/pdf/report/supply-chain-cybersecurity-guidelines.pdf
https://www.meti.go.jp/committee/kenkyukai/shoujo/sangyo_cyber/wg_1/pdf/002_s03_00.pdf

セキュリティ対策に関して、ご不明点、ご相談などございましたらお気軽にお問い合わせください。