ステップ1：サプライチェーンにおけるサイバーリスクを可視化する

　デジタル環境が進化するにつれ、サイバー攻撃者も戦術・技術・手法を高度化させながら、ハッカーや国家支援グループ、サイバー犯罪者が台頭しています。特に近年は、ランサムウェア集団がデジタルサプライチェーンを標的に大規模な混乱を引き起こしています。その影響は企業の業務や信用にとどまらず、世界経済にも影響を及ぼしています。各業界・地域の団体・組織は、サードパーティによる脅威やゼロデイ脆弱性などへの対応を迫られています。

　例えば、ある日本企業に対するランサムウェア攻撃では、社内ネットワークを経由して顧客データが盗まれ、一部が外部のリークサイトに公開されました。その影響は自治体や教育関連団体、金融機関、保険会社などにも及びました。サプライチェーンの一部が標的になれば被害が広範囲に及ぶという典型例になりました。

サプライチェーンを可視化し現状を把握する必要がある

　サプライチェーンにおけるセキュリティリスクは、企業間のデータ連携の複雑性やリスク管理の不備によって被害が拡大しやすい傾向にあります。取引先やパートナー企業が攻撃を受ければ、連鎖的に自社も被害を被る可能性があります。

　もはや、従来の境界型防御によるセキュリティ対策だけでは十分に守れず、サプライチェーンに関与する各企業のセキュリティを効果的に管理するには従来の内部統制だけでは不十分になっています。サードパーティの継続的な監視と定期的なリスクアセスメントによる早期発見と迅速な対応が不可欠です。

　サプライチェーンには、ランサムウェア攻撃やデータ侵害など、多様なサイバー脅威が潜んでいます。しかし、多くの企業は自社のセキュリティ対策は把握しているものの、サプライチェーン全体のリスクを把握できておらず、自社ネットワークにおけるサプライチェーンのサイバーリスクを十分に認識できていません。

　セキュリティ体制を堅牢にするためには、ベンダーやパートナーとの情報共有や定期的なセキュリティ評価により、サプライチェーン全体のセキュリティ状況を可視化し、現状を把握することが不可欠です。

　可視化により、リスクに基づいたベンダーの優先順位付けや、脆弱な領域へのリソース集中が可能になり、より効果的なセキュリティ対策が実施できます。リアルタイムで状況を把握することで、リスクへの迅速な対応も可能になり、安全なネットワークの構築につながります。

　デジタルサプライチェーンの普及に伴い、フォースパーティによるリスクも無視できないものになっています。これを可視化し特定することで、組織は潜在リスクをより正確に把握し、影響の大きい領域を優先的に管理・対策ができます。適切な対応は、サプライチェーン全体の回復力（レジリエンス）を強化し、安全性を確保するうえで重要です。

可視化の対象には脅威の特定と攻撃対象領域の特定がある

　サプライチェーンのサイバーリスク管理において可視化する対象には（1）サイバー脅威と（2）攻撃対象領域があります。技術の進化や地政学的要因の影響を受け、攻撃手法や対象変化し続けているからです。

　サイバー脅威の可視化では、次の２つを実施します。

●ランサムウェア、フィッシング攻撃、APT（Advanced Persistent Threat：高度で持続的な標的型攻撃）など、組織が直面する可能性のある脅威を特定する
●攻撃者のTTP（Tactics：戦術、Techniques：技術、Procedures：手法）を分析し、事前に対策を強化する