の推進ガイド|複雑化する供給網を守る対策を解説.jpg)
近年、製造業のサプライチェーンは、取引先経由のランサムウェア攻撃や地政学リスクなど、さまざまな脅威にさらされています。特に、供給網の複雑化やDX推進の隙を狙ったサイバー攻撃の急増は深刻です。
しかし、リスクの把握や対応、万が一の事態への備えをスムーズに進められない組織も少なくありません。そこで本記事では、自社の事業に加え、関連企業も守る取り組み「サプライチェーンリスク管理(SCRM)」の概要とリスクの種類、サイバー攻撃に対する対策を解説します。
目次
- 1 サプライチェーンリスク管理(SCRM)とは?定義と実施目的
- 2 なぜ今、サプライチェーンリスク管理が製造業で重要視されるのか?
- 3 製造業が把握しておくべき5種のサプライチェーンリスク
- 4 サプライチェーンリスク管理においてセキュリティ対策が急務である理由
- 5 サプライチェーンのセキュリティリスクを軽減する具体的な対策
- 6 技術的なサプライチェーンリスクへの対策が思うように進まない3つの壁
- 7 課題を解決し、技術的なサプライチェーンリスクに強い組織を作るには?
- 8 まずは自組織のセキュリティ強化から。着実にサプライチェーンリスクに強い体制を構築しよう
- 9 侵入されても、発症させない。ゼロトラスト型エンドポイントセキュリティ「AppGuard」
- 10 巧妙化が進む、組織を狙った標的型攻撃から守るための技術をご紹介
サプライチェーンリスク管理(SCRM)とは?定義と実施目的
取引先を経由したランサムウェア攻撃や半導体不足による調達難、地政学リスクによる工場停止など、製造業が直面するサプライチェーンの脅威は、ここ数年で大きく変化しました。
これらのリスクに対処する手段として、今注目されているのが「サプライチェーンリスク管理(SCRM)」です。本章ではその定義と目的を整理します。
サプライチェーン全体のリスクを予測・制御する取り組み
サプライチェーンリスク管理とは、供給網全体に潜むリスクを事前に特定・評価し、対策を講じるプロセスです。事故が起きてから対処するのではなく、潜在的な脆弱性を先回りして発見・制御する点が大きな特長です。
対象範囲は自社内にとどまらず、原材料の調達先や製造委託先、物流・販売業者までおよびます。また、モノの流れだけでなくクラウド型の業務支援サービスやWeb・アプリ開発の委託先といった、デジタルのつながりも対象に含みます。
最大の目的は事業継続とレジリエンスの強化
サプライチェーンリスク管理の最大の目的は、有事の際にも事業を止めず、止まっても素早く立ち上げ直せる「レジリエンス(回復力)」を組織に備えることです。サイバー攻撃や災害といった予期せぬ事態が起きた際、被害の拡大を防ぎ復旧速度を高めるには、平時からの備えが欠かせません。
レジリエンスを強化すれば、安定供給を通じてお客さま・取引先への責任を果たせます。また、不測の事態でも安定した事業運営が可能になり、一定の競争力を維持できる点もメリットです。
なぜ今、サプライチェーンリスク管理が製造業で重要視されるのか?
サプライチェーンリスク管理が製造業の経営課題として注目される背景には、構造的な要因と環境的な要因が複合的に絡んでいます。
中でも見逃せないのが、供給網のブラックボックス化と、それを狙うサイバー攻撃の急増です。
サプライチェーンの複雑化によるブラックボックス化
グローバル化や多重下請けの進展により、自社のサプライチェーンが「見えない」状態に陥っていることが、リスク対策を阻む最大の構造的要因です。直接の取引先まで把握していても、その先の2次・3次サプライヤの実態まで捉えられている企業は少ないのが実情です。
さらに、企業間・部門間でデータが分断・散在しているため、サプライチェーンのどこにリスクが潜むのか、有事にどこが影響を受けるのかを把握できません。こうした構造のもとでは、重大なリスクが放置され、顕在化したときに深刻な被害に発展するという状況が生まれます。
デジタル化の隙を狙ったサプライチェーン攻撃の急増
構造的な脆弱性を狙ったサイバー攻撃が急増している点も、サプライチェーンリスク管理が重要視される理由の1つです。近年、効率化を目的とした工場のデジタル化・IoT化や、テレワークの普及により攻撃の侵入口(アタックサーフェス)が拡大しています。
加えて、利用者のITリテラシー不足や不十分なセキュリティ対策が原因となり、深刻なセキュリティインシデントが多発する状況となりました。実際、IPA(*1)も毎年「情報セキュリティ10大脅威」などで注意喚起を続けており、サプライチェーンを狙った攻撃への対策は全企業共通の課題となっています。
*1:日本のIT国家戦略を技術面・人材面から支える、経済産業省所管の機関
【関連記事】サプライチェーン攻撃とは?具体的な攻撃手口と参考資料を徹底解説
製造業が把握しておくべき5種のサプライチェーンリスク
管理すべきサプライチェーンリスクにはさまざまな種類があります。どのようなリスクが潜んでいるかを把握しておくと、対策の計画や優先順位づけもスムーズです。
ここでは、製造業が特に押さえておきたい5種類のリスクを整理します。
技術的リスク(サプライチェーン攻撃・利用サービスの停止など)
技術的リスクとは、サイバー攻撃やシステム障害によって業務継続が妨げられるリスクです。製造業に関連するものには、以下のものがあります。
- サプライチェーン攻撃:対策が不十分な企業のシステムを踏み台にするサイバー攻撃
- ランサムウェア・ウイルスなどのマルウェア:システム停止・暗号化や機密情報の漏えいなどを引き起こす
- 脆弱なレガシーシステムへの攻撃:古いシステムはアップデートや保護機能が不十分で、攻撃者の標的となりやすい
- 外部サービスの停止:利用するITサービスのシステム障害、インシデントにより自社の業務が連鎖して止まるリスク
いずれも自社単独のセキュリティ対策だけでは防ぎきれない点が共通しており、サプライチェーン全体を視野に入れた備えが求められます。
【関連記事】ランサムウェアに感染したら?やるべき対応とNG行動を徹底解説
物理・環境的リスク(パンデミック・災害など)
地震・洪水・台風などの自然災害や感染症のパンデミックは、工場の操業停止や物流インフラの寸断を通じてサプライチェーンに広範な影響をおよぼします。実際、被災した部品メーカーからの供給が止まり、被災地以外の工場まで連鎖的に操業停止に追い込まれるケースは過去にも繰り返されてきました。
また、感染症の流行時には、工場のロックダウンや国境規制により部品・原材料の供給が急停止するリスクがあります。同時に物流の停滞やリードタイムの長期化も起こり、在庫が尽きれば生産ライン全体が止まりかねません。
地政学的リスク(政情不安・貿易摩擦など)
戦争・紛争・テロといった国際情勢の不安定化は、特定地域からの原材料・部品の供給不足や物流ルートの遮断を引き起こします。生産拠点が無事であっても、主要な貿易ルートが軍事的脅威にさらされれば、製品の輸出入が滞り、調達の安定性が損なわれます。
各国の輸出入規制や関税の急激な引き上げ、法制度の変更といった政策変動も、調達コストの増大や取引先との契約見直しを迫られる原因です。特定の国や地域への依存度が高いほど、こうした変動の影響を受けやすい点には注意が必要です。
経済・財務的リスク(原材料高騰や為替変動など)
原材料・燃料費の価格は、地政学的緊張や需給バランスの変動によって急騰するリスクがあります。調達コストの上昇は製造原価を直接押し上げ、価格転嫁が難しい業種ほど利益率への打撃が大きくなります。
為替変動、とりわけ深刻で急激な円安は、輸入依存度の高い企業の収益を圧迫する要因です。原材料の多くを海外調達に頼っている場合、円安が進むほど仕入コストが増大し、さらに海外に生産拠点を持つ企業では現地の人件費・運営費の円換算額も膨らみます。
人的リスク(内部不正・人材不足など)
サプライチェーンリスクには、「人」に起因するリスクも含まれます。内部関係者による機密情報の持ち出しや悪質なコンプライアンス違反といった内部不正は、組織の信頼を揺るがす重大なリスクになり得ます。
慢性化しつつある人材不足も、サプライチェーンリスクの1つです。個人の許容量を越える業務量や長時間労働、進まない技術継承などは、組織だけでなく、供給網全体の生産性を低下させかねません。
また、近年ではメール誤送信や不審リンクのクリックといった、人為的なミスがサイバー攻撃の引き金となるリスクも顕在化しています。
サプライチェーンリスク管理においてセキュリティ対策が急務である理由
5種類のリスクの中でも、製造業が今、最優先で対応を進めたいのがセキュリティ対策です。その中でも特に、サプライチェーン攻撃への備えが求められています。
攻撃の構造と被害の規模感を押さえれば、なぜ「急務」と表現されるかが見えてきます。
ターゲットは大企業から対策が手薄なサプライヤへ移行
近年、攻撃者の標的は、強固な防御を整えた大企業本体から、相対的にセキュリティ水準が低い関連企業へとシフトしています。なぜなら、比較的攻撃を成功させやすく、大企業への踏み台にもできるからです。
仮に、どこか1社の脆弱性が悪用されると、サプライチェーン全体に大きな影響をおよぼすセキュリティインシデントに発展しかねません。また、各社のセキュリティ水準にばらつきがある限り、構造的な脆弱性が本質的に解消されない点も懸念点の1つです。
1度のインシデントが、事業存続に関わる甚大な被害に発展するケースが頻発
1度のインシデントであっても、サプライチェーン経由の被害は自社の操業停止や多額の損失に直結します。例えば、サイバー攻撃によるシステム停止や情報漏えいなどが起きれば、システム復旧費用や損害賠償が発生するほか、ブランドイメージや取引先との信頼も損なわれます。
さらに、被害からの完全な復旧には長期間を要するケースも多く、その間の機会損失も含めると経営全体へのダメージは深刻です。自社が攻撃の起点となった場合は「加害者」として取引先から責任を問われ、最悪の場合は取引停止に発展するリスクもあります。
【関連記事】セキュリティインシデントとは?種類や事例、対策法をまとめてご紹介
サプライチェーンのセキュリティリスクを軽減する具体的な対策
ここからは、サプライチェーンにおけるセキュリティリスクを軽減するために取り組むべき対策を整理します。
サイバー攻撃の脅威に不安を感じている、対策の進め方に疑問がある方はぜひ参考にしてください。
セキュリティ・技術的対策の徹底
サプライチェーンのセキュリティリスク軽減の第一歩となるのが、技術的な対策の徹底です。既知の脆弱性に起因する攻撃を確実に防ぐためにも、ソフトウェアやOSを最新の状態に保ちましょう。
加えて、多要素認証(MFA:複数の認証要素を組み合わせる方式)、通信を監視するファイアウォール・IPS(*2)、ウイルス対策ソフトなども確実に導入してください。これらの対策を進めることで、不正アクセスやサイバー攻撃に強い体制を構築できます。
*2:ネットワークを監視し、不正な通信をブロックするツール
【関連記事】多要素認証とは?メリットや二段階認証との違い、運用の注意点を解説
サプライチェーン全体の可視化とセキュリティ状況の把握
社内の基本的な対策と並行して実施しておきたいのが、「誰と、どうつながっているか」の把握です。サプライチェーン全体を可視化すれば、攻撃の起点となりうる箇所を把握できます。
各企業がどの程度セキュリティ対策を実施しているかを把握することも重要です。調査にあたっては、経済産業省が策定したSCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)の基準を参考にすると、より定量的に評価できます。必要に応じて、対策が不十分なサプライヤへの支援や改善の働きかけを行うことで、サプライチェーン全体のセキュリティ水準を底上げできます。
参考:経済産業省|「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました
異常の早期検知と迅速な初動対応を可能にするモニタリング体制を構築
セキュリティ面のリスクを管理するには、ネットワークや端末を監視するツールを活用し、異常な通信・挙動を素早く検知する体制の構築が重要です。早期に異常を検知できれば迅速な初動対応が可能となり、被害を最小限に抑えられます。
従業員が不審なメールやヒヤリハット事象をためらわずに報告できる社内窓口を整備することも重要です。報告のスピードが向上すれば、適切かつ素早い初動が可能となり、被害拡大を防止できます。
あわせて、初動対応を担う「CSIRT」(インシデント対応チーム)を組織しておくことで、有事の際もスムーズな対応が可能になります。
BCPの策定とBCMの実施
どれほど対策を徹底しても、インシデントの発生を完全に防ぐことはできません。万が一の事態が起こっても事業を継続させるため、「BCP(事業継続計画)」を策定しておきましょう。BCPの内容については、重要データのバックアップから復旧までの流れ、システムが使えない場合の代替手段などを定めるのが一般的です。
また、BCPは策定して終わりではなく、定期的な訓練や教育を通じて従業員に浸透させることが欠かせません。こうした維持・改善を続ける取り組みを「BCM(事業継続マネジメント)」と呼び、この取り組みこそが、有事の際に計画を機能させる鍵となります。
【関連記事】サプライチェーンのリスク増大にどう備えるべき?3つの対策をご紹介
技術的なサプライチェーンリスクへの対策が思うように進まない3つの壁
多くの企業が、技術的なサプライチェーンリスクを管理することの重要性を認識しています。
しかし、製造業特有の事情が影響し、思うように進まないケースも少なくありません。
国内外の拠点や全取引先のセキュリティレベルの管理が困難
複雑化したサプライチェーンでは、全体のセキュリティ対策状況を把握し、一元的に管理することはコスト面でも物理的にも容易ではありません。特に、3次請け以降の企業や海外拠点が多く関わる場合、セキュリティレベルの完全な管理は困難だといえます。
また、中小規模の組織では、リソースや知識の不足により対策を進められないことも少なくありません。自社の管理がおよぶ範囲であれば直接支援できる一方、範囲外となるサプライヤの脆弱性が放置されやすい点は大きな課題です。
セキュリティ対策の適用が難しいレガシーシステムや工場設備の存在
製造現場では、メーカーサポートが終了した旧式OSや専用の生産管理システムが、今なお重要な役割を担っているケースが多く見られます。こうしたレガシーシステムは最新のセキュリティソフトを導入できないことが多く、既知の脆弱性を抱えたまま稼働し続けているのが実情です。
加えて、製造業において生産ラインの停止は巨額の機会損失に直結するため、パッチ適用のための再起動や一時停止を伴う対策は後回しにされがちです。「アップデートできない」「止められない」という二重の制約が、製造現場のセキュリティ対策を阻む構造的な壁となっています。
IT・セキュリティ人材の不足
3つ目の壁となるのが、サプライチェーンリスク管理を高度化するうえで不可欠なIT・セキュリティ人材の慢性的な不足です。セキュリティ人材の需要は高まる一方であるものの、専門知識を持つ人材を十分に確保できている企業は多くありません。
特に製造業では、サイバー攻撃の専門知識だけでなく、製造現場特有のシステム環境まで理解できる人材が求められます。必要なスキルが特殊なぶん、確保のハードルは他業界と比べて高く、人材不足がそのままセキュリティ対策の遅れに直結しているのが実情です。
課題を解決し、技術的なサプライチェーンリスクに強い組織を作るには?
サプライチェーンリスク管理の実現にはさまざまな障壁が存在しますが、適切な手段を組み合わせることで乗り越えやすくなります。
以下では、限られたリソースでも実践できる具体的なアプローチを解説します。
人材不足・体制整備の課題は「外部パートナーの支援」で解決
人材不足や体制整備の課題に対するもっとも現実的な解決策が、専門知識を持つ外部パートナーの活用です。自社でIT・セキュリティ人材を確保するのが難しい場合であっても、ノウハウを持つ専門家と連携することで、必要な知見を効率よく活用できます。
外部パートナーの支援を受けることで、自社リソースだけでは難しい対策の効率的な推進が可能です。また、インシデント発生時の初動対応や監視体制の委託もできるため、限られたリソースでも強固な防御体制を維持できます。
サプライヤ向けのセキュリティガイドライン策定やリスクの可視化、「SCS評価制度」準拠の実態評価といった、実効性の高い支援を期待できる点も大きなメリットです。
脆弱性への対応には最適なシステム導入と教育が不可欠
基本的な対策の徹底に加え、自社のリスク特性や環境に応じたシステムを導入することが、実効性の高いセキュリティ体制につながります。自社に合ったシステムを選ぶことで、環境を大きく変えずに防御力を高めたり、対策コストを最適化できたりします。
社内の体制強化には、定期的な教育も有効です。セキュリティ教育や研修を通じて従業員のリテラシーを向上させれば、人為的ミスによる不正アクセスを防止できます。ITに知見のある従業員に専門的な教育機会を設ければ、対策を担う人材の育成にもつながります。
DAIKO XTECHなら強固なセキュリティ体制構築から教育までトータルで支援
複雑な課題を乗り越えてシステムやサプライチェーンを守るには、製造業の環境を深く理解したパートナーが欠かせません。
DAIKO XTECHは、豊富な実績を持つシステムインテグレーターです。止めることのできない生産ラインや古いOSが稼働するレガシーシステムなど、現場の実情を把握したうえで最適な対策をご提案いたします。
幅広いソリューション・サービスにより、ネットワークや端末の保護から、コンサルティング、セキュリティ診断、教育までをトータルにサポートします。具体的なソリューションについては、以下の「セキュリティソリューションマップ」をぜひご覧ください。
支援の全体像がわかる!セキュリティソリューションマップを見てみる
まずは自組織のセキュリティ強化から。着実にサプライチェーンリスクに強い体制を構築しよう
サプライチェーンリスク管理推進の第一歩となるのが、セキュリティの強化です。まずは、対策を進めやすい自組織を中心に、技術的な対策の徹底や体制の整備、教育などを進めていきましょう。
自社の基盤が整ったら、次は委託先や取引先を意識した対策です。サプライヤと共に対策を進め、セキュリティインシデントに強いサプライチェーンを作ることで、安心してビジネスを推進できます。必要に応じて専門知識を持つ外部パートナーの力を借りれば、よりスムーズに対策を進められます。
また、サイバー攻撃の検知・対応体制をより詳しく知りたい方は、「組織規模で取り組むべきセキュリティ対策!」もあわせてご覧ください。
おすすめのお役立ち資料はこちら↓
サプライチェーン対策における最大の課題は、「取引先の現場との温度差」です。大企業がどどれほど立派なセキュリティ方針を掲げても、3次・4次下請けの町工場にとっては、「日々の納期対応に追われ、今動いている古いパソコンを止めるのは怖い」というのが現実でしょう。こうした状況を踏まえずに、セキュリティ対策を一方的に求めるだけでは、実効性は期待できません。
まずは自社の足元を固め、侵入を防ぐことだけでなく、万が一侵入されても被害を発生・拡大させない仕組みを徹底することが重要です。そのうえで、製造業の現場事情を深く理解する外部の専門家と連携し、取引先の実情に寄り添いながら段階的にセキュリティレベルを引き上げていくことが、結果として最も現実的で効果的なアプローチといえるでしょう。