１．サプライチェーンリスクの重要性

企業のビジネス活動には取引先や顧客等のサプライチェーンが重要ですが、マルウェア等のサイバー攻撃も、無関係の相手から受けるよりもサプライチェーン企業から受けるケースが多くなっています。また自社を発生源として、サプライチェーン企業に被害をもたらすこともあります。

サプライチェーンも直接の相手先までであれば、相手の企業や担当者のことも理解できており、さほど心配する必要はありません。しかし、実際のサプライチェーンの階層は深く、4つ先や5つ先の取引先といったケースも珍しくありません。そうなると相手が誰だかよくわかりませんし、場合によっては、相手先の存在もはっきりしない海外の企業だったりすることもあります。そのような企業の中には、犯罪集団と関係がある要員が紛れ込み、サプライチェーンを悪用して社内ネットワークに侵入し、サイバー攻撃の被害をもたらしている事例も出てきています。そのため、階層が深いサプライチェーンを構成している場合には、そのサプライチェーンを構成する企業のリスクを管理することが非常に重要になります。

２．サプライチェーンリスク管理の現状

2.1 サプライチェーンリスク管理の必要性の認識

一昨年、トヨタのグループ会社がランサムウェア攻撃を受けたことが発端になり、トヨタ全体の生産が停止するというトラブルが起きました。ビジネス活動はサプライチェーンで行われていることから、どこか1か所でサイバー攻撃を受けければ、サプライチェーン全体に影響が拡大するようになっています。

2.2 サプライチェーンリスク管理の現状

しかし、自社のサイバー防御状況を把握することは可能ですが、サプライチェーン企業は他社であり、他社の状況を把握することは容易ではありません。

サプライチェーン企業へ質問票を送ってサイバー防御状況を聞くことは増えていますが、回答する側も回答しづらく、場合によっては回答を拒否したり、虚偽の回答をしたりすることも珍しくありません。強制的に立ち入り監査を行うことは、企業間の関係が一方的でない限り無理な話です。

海外ではサプライチェーン企業に第三者によるセキュリティ診断やセキュリティ資格認証取得を義務付けることも行われているようです。しかし日本国内の場合、下請法等の法規制もあり強制的な実施は困難です。実際に、外資系メーカーの日本法人がサプライチェーン企業にセキュリティ認証資格取得を強制して、公正取引委員会に摘発される事件も起きています。

３．経産省サプライチェーン対策評価制度

3.1 経産省サプライチェーン対策評価制度の概要

そのような背景を受けて、経産省では「サプライチェーン対策評価制度」を制定して運用することを発表しました。すでに原案は公表されており、今年の後半には本格運用を始める予定です。

サプライチェーン対策評価制度では、以下の3つのレベルが定義されています。

経産省としては、サプライチェーン企業に対してこの評価制度のレベル認定を取得させ、それをサプライチェーン企業の評価に使ってもらうことを目論んでいます。

４．おわりに

日本では、経産省サプライチェーン対策評価制度のレベル★5の基準となる ISO/IEC 27001 の認証取得企業数が8,000社を超えており、さほど難易度の高い基準とは言えません。民間レベルでは海外の企業から、ISO/IEC 27001よりも更に難しいTISAXやSOC2の認証取得を求められている企業もあるのが現実です。

国内では下請法の規制があるため、サプライチェーン企業に対して強く言えないのが現状ではあります。しかし、実際にサプライチェーンを介してサイバー攻撃の被害が拡大しつつある今、経産省の評価制度は当然クリアすべきレベルと捉えるべきでしょう。その上で、より高いレベルであるTISAXやSOC2の認証が取得できるレベルに到達することを目指すことが望ましいと言えます。