• Column
  • サプライチェーンにおけるサイバーリスク管理の3ステップ

ステップ3:サプライチェーンにおけるサイバーリスク管理の戦略的アプローチを実行する

藤本 大(SecurityScorecard日本法人 代表取締役社長)
2025年7月28日

外部パートナーを継続的に監視する仕組みが必要に

 そこで重要になるのが、リアルタイムまたは、それに近いかたちで外部パートナーを継続的に監視する仕組みです。従来の定期的なチェックだけでは把握し切れなかったリスクの早期発見・対応を可能にし、確立されたTPRM(Third Party Risk Managemnt:サードパーティーリスク管理)プログラムの基盤になります。

 継続的監視は、データセキュリティ運用やネットワーク環境、フォースパーティーの関与状況などを可視化し、異常や脆弱性を素早く検出・修正することが目的です。脅威インテリジェンスを活用し、グローバルな攻撃傾向や新たな脅威に関するコンテキストを得て、データに基づく判断を可能にします。IT環境全体の可視性を確保しながら、継続的監視と脅威インテリジェンスを組み合わせることで、より俊敏で精度の高いリスク管理が可能になります。

 ベンダーのリスク評価や監視体制の強化は、欧州の「GDPR(General Data Protection Regulation:EU一般データ保護規則)」や米国の医療保険に関する「HIPAA(Health Insurance Portability and Accountability Act:医療保険の相互運用性と説明責任に関する法律)」、米公認会計士協会の内部統制ガイドライン「SOC2(Service Organization Control 2)」といった各種規制でも義務づけられています。

 それぞれに従ったからといって、すべてのリスクの排除は不可能ですが、標準化された評価基準とデューデリジェンスプロセスを通じて、許容可能なリスクレベルを把握・管理することは可能です。信頼性のあるベンダーとの連携と、そのリスク水準の継続的な見直しが、企業のセキュリティ体制を支える鍵になります。

AI技術と自動化でリスク管理を強化する

 サプライチェーンにおける回復力(レジリエンス)とリスク管理の高度化は、サイバー脅威の激化を受け、かつてないほどに重要性を増しています。近年発生したサイバー攻撃は、サプライチェーンの脆弱性と、その影響範囲の広さを明らかにしています。こうした環境下で注目されているのが、AI技術と自動化技術を使ったサイバーリスク管理のアプローチです。

 AI技術は、サプライチェーンのサイバー回復力を飛躍的に高めるテクノロジーとして期待されています。AI技術を使ったリスクスコアリングや脆弱性予測ツールは、膨大なデータを元に異常を自動で検出し、将来発生し得る脅威を予測します。ベンダーに対するリスク評価のスピードと精度が向上し、手動による評価に比べて格段に効率的なリスク対策が可能になります。

 高度なデータ分析と予測モデルは、過去のインシデント傾向や取引履歴からパターンを導き出し、将来起こり得る混乱を事前に察知することを可能にします。予測的インサイトは、リスクが顕在化する前に意思決定を促し、インシデントの影響を最小限に抑えることに貢献します。

 多くの企業では、社内で高度なサプライチェーンリスクの管理体制を整えるのが難しいのが現実です。そこで注目されるのが、AI技術や脅威テレメトリ、セキュリティの各専門家の知見を組み合わせたマネージドサービスの活用です。専門性の高い外部支援を得ながら、自社のサプライチェーンにおけるセキュリティ水準を効果的に引き上げられます。

 例えば、ある世界的な食品小売企業は105の国・地域で事業を展開し、3万以上のサプライヤーと取り引きしていました。当時、同社において発生したセキュリティインシデントのうち67%がサードパーティーに関連したものでした。リスクへの予防策を徹底するよりも、発生後の対応に追われていたのが実態であり、可視化も限定的で、どのサプライヤーが、どのようなデータを扱っているかを把握し切れていませんでした。

 こうした課題に対応するため同社は、まず自動化されたサプライチェーンのサイバーリスク管理システムを導入しました。グローバル規模のTPRM戦略を構築し、新たに契約するベンダーには、リスクとビジネスへの影響度に応じたセキュリティ評価を実施できる仕組みを整備しました。加えて、リスクの重大度に応じた是正措置を講じることで、不正アクセスや情報漏えいのリスクを大幅に軽減しました。

このようにAI技術と自動化は、サプライチェーンリスクの可視化、予測、対応を次の段階へと引き上げる鍵になります。特に、継続的な評価とプロアクティブな対応が可能になるだけに、組織のセキュリティ体制を強化し、将来にわたり競争力の源泉になるでしょう。

サプライチェーンリスク管理は可視化から戦略へ

 本連載では、サプライチェーンにおけるサイバーリスク管理を(1)可視化、(2)継続的評価と対応、(3)戦略的アプローチの3つのステップに分けて解説してきました。

 高度化・複雑化する脅威に対抗し、サプライチェーン全体におけるセキュリティを確保し、回復力を高めるには、もはや部分的な対策では不十分です。可視化から始まり、継続的な評価、そしてテクノロジーと組織的連携を軸とした包括的な戦略をもって、リスク管理を経営の中核に据える必要があります。

 変化の激しい時代にあって、強靭で透明性の高いサプライチェーンを構築することが、持続可能な成長と信頼の獲得に直結するのです。

藤本 大(ふじもと・だい)

SecurityScorecard日本法人 代表取締役社長。1996年、日本電信電話(NTT)に入社、東日本電信電話(NTT東日本)、NTTコミュニケーションズで法人営業に従事。 製造業、サービス業、金融業などの大手日本企業や外資企業を担当し、ネットワークサービスに加え、さまざまセキュリティサービスを提供する。2017年、ファイア・アイに入社、パートナー営業部長として主に大手通信事業者とのパートナービジネスの拡大に貢献。2020年7月1日にSecurityScorecardに入社し、2021年6月24日より現職。1971年長崎県長崎市生まれ。青山学院大学国際政治経済学部卒業。