ナレッジ

東南アジアのサプライチェーンに係るサイバーセキュリティ

APリスクアドバイザリー ニュースレター(2022年12月21日)

昨今、大企業・中小企業を問わずサプライチェーン上の脆弱性を狙ったサイバー攻撃が増す中で、サプライチェーンに係るサイバーセキュリティ対策強化の必要性が高まっています。そのような状況下において、多くの日系企業が社会的責任を果たすためにサプライチェーン・セキュリティについて経営層を巻き込みながら検討を推進し、自社の重要アジェンダとして捉える動きが出始めています。

ここ東南アジアは、多くの日系企業が従前より進出し、バリューチェーンにおける重要な生産・開発等を担う拠点が多く設置されている地域ですが、各拠点のサイバーセキュリティ対応は未だ十分とは言い切れない状況であり、また各拠点の取引先までを含めた対応を行う企業は多くはありません。サプライチェーン・セキュリティ対応の推進にあたっては、本社にてサプライチェーンを取り巻く外部環境、規制、要求事項等のインプットおよび現状課題の整理を踏まえた上で、サプライチェーン・セキュリティ向上の意義、対応方針・ロードマップ、役割と責任、各拠点の取り組み事項の整理等を行うことが肝要です。また、どの海外拠点でもサイバーインシデントがいつ発生してもおかしくはない状況であるため、各拠点の最低限のセキュリティ対応についても今一度ご確認頂き、有事の際の社内外の報告先の整理・更新、相談先の確保についても喫緊で対処することが重要であると考えます。

本ニュースレターでは、サプライチェーンに係る最近の動向とサプライチェーン・セキュリティの取り組むべき論点をご紹介します。

サプライチェーンに係る日米の動き

日本では、2020年11月に主要経済団連のリーダーシップの下、産業界が一体となってサプライチェーン全体のサイバーセキュリティ対策の推進を行うことを目的としたサプライチェーン・サイバーセキュリティ・コンソーシアム(Supply Chain Cybersecurity Consortium: SC3)1が設立され、サプライチェーンのサイバーセキュリティに係る検討や取り組みの推進が行われています。また、経済産業省と独立行政法人情報処理推進機構(IPA)が発行した『サイバーセキュリティ経営ガイドライン Ver 2.0』2の経営者が認識すべき3原則の一つとして、「ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要」と挙げられており、日本国内でのサプライチェーン・セキュリティへの注目度の高まりと産業界においても喫緊の課題であることが伺えます。

米国では、2021年に直近発生したサプライチェーンに係るサイバー攻撃等を踏まえ、政府機関に提供されるソフトウェアに関し、サプライチェーン・セキュリティ強化等を目的とした『国家のサイバーセキュリティ向上に関する大統領令: E0 14028』3が発行され、米国国立標準技術研究所(NIST)に向けて、ソフトウェアサプライチェーンセキュリティを強化するガイダンスやソフトウェアセキュリティを評価する際の基準等の策定が指示されました。その後、2022年にはNISTより『大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス』4、システムと組織のサイバーセキュリティ・サプライチェーンリスクを管理するための実践方法を取り纏めた文書である『NIST SP800-161 Rev.1』5等が発行されており、米国においてもサプライチェーン・セキュリティ対応を推進する動きが活発となってきています。
 

1 経済産業省 商務情報政策局 サイバーセキュリティ課, 『サプライチェーン・サイバーセキュリティ・コンソーシアムについて』, https://www.meti.go.jp/press/2020/10/20201030011/20201030011-1.pdf

2 経済産業省, 独立行政法人 情報処理推進機構, 『サイバーセキュリティ経営ガイドライン Ver 2.0』,  https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide2.0.pdf

3 A Presidential Document by the Executive Office of the President, Executive Order 14028, https://www.federalregister.gov/documents/2021/05/17/2021-10460/improving-the-nations-cybersecurity

4 The National Institute of Standards and Technology, Software Supply Chain Security Guidance Under Executive Order (EO) 14028 Section 4e, https://csrc.nist.gov/publications/detail/white-paper/2022/02/04/software-supply-chain-security-guidance-eo-14028-section-4e/final

5 The National Institute of Standards and Technology, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations, SP 800-161 Rev.1, https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final

 

サプライチェーンから排除される恐れも

このような世界的な流れを受け、特に機密性が重要視される業界から順次厳しい規制や強化の動きが加速しており、今後は取引先より求められるサイバーセキュリティ要件を満たさない企業・製品・サービスはサプライチェーンから排除されるというシナリオも十分に考えられます。

サイバーセキュリティに係る法規制の強制化

サイバーセキュリティに係る法規制の強制化

サプライチェーン・セキュリティの強化による企業付加価値の向上

DX時代のサプライチェーンは、様々な繋がりによって新たな付加価値の創出や課題の解決をもたらす、より柔軟で動的な新たな形のサプライチェーンに変化しています。これにより、例えば調達や生産が最適化されたり、データを利活用することでサービス・保守や設計・開発へのより良いインプットが適宜連携されたりといったような良いメリットが多くあり、サプライチェーンの拡大(地域、領域、連携先等)が推進されてきました。

サプライチェーン・セキュリティの必要性 - Connected Industriesによる環境変化

サプライチェーン・セキュリティの必要性 - Connected Industriesによる環境変化

他方、DXの進展と共にサイバーセキュリティを検討すべき領域は拡大しており、同時に考慮すべきサイバーリスクシナリオも繋がりを増しています。

企業におけるサイバーセキュリティ検討領域の広がり

企業におけるサイバーセキュリティ検討領域の広がり

そのため、企業は様々なサイバーリスクシナリオに対応したセキュアなサプライチェーンの構築を加味しながらDXサプライチェーン推進に取り組むことが重要となってきており、これまでの守り(リスク回避・軽減)の視点だけでなく、攻め(事業への貢献)としてのサプライチェーンを通じたサイバーセキュリティ強化がDX時代に求められる重要な取り組みのひとつと考えられます。

攻めのサイバーセキュリティ取り組み事例

攻めのサイバーセキュリティ取り組み事例

サプライチェーンのセキュリティ確保については、一足飛びでは叶わず、本社主導の経営層を交えた下記のような段階的なアプローチが重要です。また、その際には事業戦略・DX/IT戦略との一貫整合、および戦略に整合した施策の実行への留意が必要です。

<サプライチェーン・セキュリティを実現するための段階的なアプローチ(例)>

  • サプライチェーンに係る動向調査
    • サプライチェーンを取り巻く各国の規制、要求の調査・分析
    • 他社事例や業界ベンチマーク等の調査 等
  • サプライチェーン・セキュリティに係る対応方針・戦略の策定
    • 全社としてのサプライチェーンのToBe像の定義
    • サプライチェーン・セキュリティ対応の意義・目的の定義
    • ビジネス戦略との整合・関連性の整理
    • 対応ロードマップ策定 等
  • 推進活動の設計
    • ステークホルダー整理と取り組み活動の策定
    • 対応スコープ、優先度付け
    • 役割と責任の定義
    • ステークホルダーへの説明・調整 等
  • サプライチェーン・セキュリティ向上推進
    • 設計された活動の実行
  • モニタリング・評価・改善活動
    • 定義された報告頻度に基づき活動内容の評価を実施
    • 課題の吸い取りと継続的な支援 等


サプライチェーン・セキュリティの取り組みアプローチ

サプライチェーン・セキュリティの取り組みアプローチ

海外子会社におけるセキュリティ対応の取り組み方

これまで述べてきたように、企業として海外拠点を含めたサプライチェーン全体のセキュリティを向上させることは重要です。しかし、これまでデロイト トーマツが日系企業の本社側および海外拠点側の経営層やセキュリティ担当者の方々とお話させて頂いた経験から申し上げると、企業としてサプライチェーン・セキュリティの重要性は認識しつつも、そもそも日本国内における方針が固まっていない、または日本国内を優先する方針である、といった理由から、本社から海外拠点への方針展開や具体的な指示を行っている企業は現在でも多くはない印象です。また、海外拠点に注目した視点では、サイバーセキュリティ対応の意義が完全に浸透しきれていないことや、サイバーセキュリティに係るリソースが十分とは言えない状況が見受けられ、本社からの具体的な指示や支援が行われるまでは積極的なセキュリティ対応を推進しようとする意欲は決して高いとは言えない印象です。

とはいえ、海外拠点を標的としたサイバー攻撃は日々増加しており、自拠点あるいは取引先が入口となるサイバーインシデントがいつ発生してもおかしくはない状況です。そのため、海外拠点の経営層、セキュリティ担当者の方々におかれましては、足下としては説明責任を果たすために「できることから」セキュリティ対応をはじめ、中長期的には本社側との継続的なコミュニケーションを通じて支援を確保し、よりリソースを投下して範囲を拡大したセキュリティ対応を行うことが肝要だと考えられます。

足下のセキュリティ対応では、例えば独立行政法人情報処理推進機構(IPA)が発行している『中小企業の情報セキュリティ対策ガイドライン』6には、経営層および情報セキュリティ対策を実践する責任者・担当者に対するガイダンス(最低限取り組むべき対応から本格的な取り組みまで)が取り纏められています。経営層に対しては、「情報セキュリティ対策に関して経営者が認識するべきこと」や「経営者が自らの責任で考えなければならないこと」等、責任者・担当者に対しては、できることから始める「情報セキュリティ5か条」や「自社診断のための25項目」等をはじめとしたセキュリティ対応に係る有用な情報が取り纏められています。

あくまで参考として取りあげましたが、このようなガイドラインやユースケース、外部リソース等を活用しながら、最低限必要なセキュリティ対応、さらにはスモールスタートでもセキュリティ推進に取り組み、その結果および自拠点の状況を踏まえて本社側と定期的・建設的な討議を行うことが海外子会社のセキュリティ対応推進においては肝要だと考えられます。

6 独立行政法人情報処理推進機構(IPA), 『中小企業の情報セキュリティ対策ガイドライン』, https://www.ipa.go.jp/files/000055520.pdf

サイバーセキュリティを取り巻く環境は日々変化し、重要性も更に増してきています。デロイト トーマツ グループは多種多様なサイバーセキュリティに係るご支援を行っており、その知見を活かして少しでも皆様のお役に立てればと考えています。

本稿が読者のみなさまのサイバーセキュリティ対応のきっかけの一つになれば幸いです。

※詳細については当グループのプロフェッショナルまで問い合わせください。

著者:藤原 一成
※本ニュースレターは、2022年12月21日に投稿された内容です。

アジアパシフィック領域でのリスクアドバイザリーに関するお問い合わせは、以下のメールアドレスまでご連絡ください。

ap_risk@tohmatsu.co.jp

お役に立ちましたか?