第９回転換期を迎えている“サイバーセキュリティ観点での委託先管理”の在り方【組織における委託先管理トランスフォーメーションの必要性】

＜連載＞持続的な成長のためのリスクテイクに際して、企業はどうCyberと向き合うべきか

1. 背景

テクノロジーの進化や社会・経済動向に伴い、企業へのニーズが多様化・複雑化しており、その対応として企業はデジタルを活用したビジネスモデルへの変革が迫られています。

製品・サービスが消費者に届くまでの一連の生産・流通プロセスを意味するサプライチェーンにおいても、新たな価値創出やプロセス合理化等を目的としたデジタル化により、その姿や在り方が大きく変わってきています。

多岐に渡る新たなパートナーとの繋がりや、システム連携やデータ授受などサイバー空間上での繋がりを前提としたデジタルサプライチェーンへの進化に伴う代表的な構造変化として、次の2点が挙げられます。

①生産・流通プロセスが「ツリー型(1本の根から枝分かれする形態)」から「メッシュ型(網の目状で関係する形態)」へ変化

②サプライチェーンを通じて流れる対象が「モノ」から「情報・データ」及び「ソフトウェア」にまで拡大

構造変化に応じて、サプライチェーンリスクも拡大・複雑化しており、経済安全保障リスク・地政学リスク・サイバーセキュリティリスクなど、サプライチェーンリスク管理として超えるべき新たな壁への対応が求められます。

つまり、サプライチェーンリスク管理の在り方そのものを転換すべきタイミングを迎えており、サイバーセキュリティは特に重要な1テーマといえます。

■セキュリティ観点でのサプライチェーンリスクの変化

量の観点：
パートナー企業とのサイバー空間上での繋がり拡大に伴うアタックサーフェス(サイバー攻撃の対象となりうる起点・経路・領域)の増加、パートナー企業からの自社機密情報漏洩リスクの拡大など

質の観点：
パートナー企業を踏み台にした攻撃に伴う自社のシステム障害や工場停止等のリスク増加、調達するソフトウェアの脆弱性に起因する自社製品・サービスへの影響など

2. 最近の動向

デジタルサプライチェーン上でサイバー攻撃を受けた場合、サプライチェーン全体に瞬時に被害が拡大し、その影響の大きさは想像に容易いです。昨今、被害が顕在化した事案がニュースを賑わせていますが、企業はこれを自分事として捉え、セキュリティ観点で委託先等のパートナー企業を適切なレベルで管理すること(以降、「委託先管理」という。)の重要性を認識する必要があります。

図1：デジタルサプライチェーン上でのサイバー攻撃による影響度（例）

■脅威事例①：海外ソフトウェア開発A社(2020年）

マルウェアが仕込まれた遠隔監視ツールの更新機能により、約17,000もの組織にマルウェアが侵入

■脅威事例②：国内部品メーカーB社(2022年）

主要サプライヤーであるB社の生産に係る受発注サーバがマルウェアに感染した影響で、自動車メーカーの国内工場、ラインの生産が停止

また、サプライチェーン全体の保護を目的とした法規制の整備が各国で活発化しており、委託先等のパートナー企業を含めたセキュリティ強化が強制力を伴う形で企業に要請されつつあります。

■法規制の例①：CMMC(Cybersecurity Maturity Model Certification）

・米国防総省(DoD）は自国の防衛サプライチェーンのセキュリティ強化を目的に、DoDとビジネス関係にある全ての企業に対して第三者評価機関からの認証取得を強制化。
・IT産業等、多岐に渡る業界が対象(推定対象企業数：30万社）

■法規制の例②：NIS 2 指令

・EUは社会基盤となるサービスを提供する組織や施設のサイバーセキュリティレベル向上を目的に、重要インフラを対象として「ネットワーク・情報システムの安全に関する指令(NIS指令）」を改正

さらに、米国、EUではサプライチェーン全体でのソフトウェア管理(SBOM管理）の法規制化も進んでおり、委託先管理がここでも重要になっています。
つまり、委託先管理は単なるセキュリティリスクではなく、もはや経営リスクとして捉え、組織全体での対応が求められる時代になっています。

3. 委託先管理における企業の課題

委託先管理の重要性が高まる一方で、企業では次のような課題に直面していることが予想されます。

A) ルールと運用の乖離
委託先管理に係る画一的なルール・プロセスしかなく、運用実態と合っていない

B) 組織全体における管理態勢の未整備
各部門が委託先管理を実施しており、組織全体として、委託先の可視化および委託先に係るリスクの可視化ができていない

C) 必要となるスキル・ナレッジを有する人材の不足
委託先管理を行うための人的リソースを十分に確保できていない

上記を委託先選定、委託先モニタリングのフェーズで見ると、次のように課題を分解できます。

【委託先選定】
A) 同じチェックシートを用いて委託先のセキュリティ対策状況を確認しており、委託先ごとのセキュリティ上のリスクを適切に把握できてない

B) 複数部門で同じ委託先に対してセキュリティチェックを実施する等、非効率な運用になっている

C) 委託元部門でセキュリティチェックを実施しているが、適切にリスク評価できる人材が評価しているわけではない

【委託先モニタリング】
A) 決まった頻度かつ同じ方法でモニタリングしており、環境変化に応じた適時の評価ができていない

B)モニタリングは各部門に委ねられており、組織として横串を通して管理する仕組みがない

C) 立入り監査を実施したいが、ノウハウ・スキルや十分な人的リソースがない

4. 委託先管理のポイント

サプライチェーンリスク管理の在り方を転換し、委託先管理に係る組織全体としてのトランスフォーメーションを実現するために、個別に点として対応するのではなく、合理的な優先順位に基づく面としての取組みが必要です。

A) ルール・プロセス
リスクレベルに応じて委託先管理方針・ルール、プロセスが整備されている状態が望ましいです。そのためには、委託先の特性やビジネス上での関係性などを踏まえ、セキュリティ観点での重要性に基づき委託先を分類する必要があり、要求すべきセキュリティ水準を分類ごとに予め定義しておくことも重要です。

B) 管理態勢
各部門に任せきりにするのではなく、コーポレート部門と委託元部門が連携し、各々の役割を定義することが望ましいです。そのためには、委託先管理において必要となる管理・実行機能の整理、組織内における機能の配置や役割分担の検討を予め実施しておく必要があります。

C) ヒト
組織においてセキュリティ人材に係るエコシステムが形成されている状態、つまり中核を担うセキュリティ人材(コア・セキュリティ人材）が新たなセキュリティ人材を育成し、プラス・セキュリティ人材やコア・セキュリティ人材を輩出する仕組みが構築され、運用されている状態が望ましいです。
従業員がセキュリティ人材になることを積極的に目指すためのインセンティブなど、後押しとなる要素も検討しておくことが重要です。
また、委託先におけるセキュリティリスクへの意識醸成を目的に、委託元としてセキュリティ教育・研修のコンテンツ提供等の支援を行うことも重要です。

D)技術
委託先の可視化、委託先に係るリスクの可視化について、セキュリティソリューションなどの技術基盤を活用することも有効な手段です。
委託先組織の管理のみならず、ソフトウェア管理(SBOM管理）においても、技術基盤の活用は必要不可欠になるかもしれません。

5. さいごに

企業におけるこれまでのセキュリティ活動を下地に、対象とするスコープを自組織のみならず、サプライチェーン全体へ昇華させていくことが重要です。まずは、リスク分析やモニタリング等のスコープを拡大し、サプライチェーン全体におけるサイバーセキュリティ観点でのリスクや委託先管理に係る課題を適切に把握することが望まれます。