ステップ3：サプライチェーンにおけるサイバーリスク管理の戦略的アプローチを実行する

　近年、国内外で大規模サプライチェーンを狙った攻撃が相次ぎ、企業のセキュリティ対策の根本的な見直しが求められています。しかし、多くの企業はサプライチェーン上のリスクを正確に把握できていないのが現状です。一方で欧米を中心に、サプライチェーンセキュリティに関する規制が強化されつつありまる。企業は、これまで以上に継続的で高度なリスク管理体制が求められているのです。

ゼロトラストを前提にベンダーリスクを管理する

　生成AI（人工知能）技術の急速な発展は、業務効率の向上をもたらす一方、サイバー攻撃への悪用も加速しています。例えば、従来のフィッシングメールは不自然な表現や文法ミスが特徴的でした。それが生成AI技術によって極めて自然な文章が生成されるようになり、偽装メールとは見分けがつきにくい極めて自然な表現のメールが拡散され始めました。攻撃者が生成AI技術を悪用し、手口を高度化させる中で、企業のサイバーリスク対策にも抜本的な見直しが求められています。

　こうした状況に対応するために導入が急速に進んでいるのがゼロトラストアーキテクチャーです。従来のオンプレミス中心のネットワーク構成では「信頼してから検証する」という考え方が一般的でした。ですが、クラウド移行やリモートアクセスの拡大に伴い「決して信頼せず常に検証する」という“ゼロトラスト”の考え方が不可欠になりました。

　ゼロトラストモデルでは、あらゆるユーザー、あらゆるデバイス、あらゆるアプリケーションに対し、社内外を問わず継続的な認証・認可・監視を実施し、アクセス権を適切に管理する必要があります。

　加えてDX（デジタルトランスフォーメーション）により、企業のサードパーティーやフォースパーティーへの依存が増大し、サプライチェーン全体におけるリスクが拡大しています。結果、ベンダーのセキュリティ体制に関するデューデリジェンス（事前調査）が、各国のサイバーセキュリティ規制や業界標準における重要要件に位置づけられました。取引開始前にベンダーのリスクを把握し、取引開始後は継続的に監視（モニタリング）することが企業の責任になりつつあるのです。

　こうした背景から、国際的にサプライチェーンに関する規制強化の動きが加速しています。例えばEU（欧州連合）では2022年12月に「改正ネットワークおよび情報セキュリティ指令（NIS2）」や「デジタルオペレーショナルレジリエンス法（DORA：Digital Operational Resilience Act）」を採択し、より広範な業種に対してリスク分析や事業継続性の確保を義務づけました。

　米国では、2021年に発令された「国家のサイバーセキュリティの向上に関する大統領令」により、ソフトウェアサプライチェーンの強靭化が推進され「ソフトウェア部品表（SBOM：Software Bill Of Materials）」の導入が求められています。

　これらの取り組みは、AI技術による脅威の高度化やグローバルでのサイバーセキュリティ関連の情報共有の必要性を背景に、サプライチェーン全体のセキュリティ水準の底上げが目的です。今後は、ゼロトラストの考え方を軸に、AI技術活用による脅威の予測・防御、ベンダー評価の標準化、そして国際的な連携を通じて、より強靭なサイバーリスク管理体制を構築していくことが企業に求められるでしょう。

外部パートナーと協業する限りサプライチェーンリスクはなくならない

　サプライチェーンにおけるサイバーリスクが複雑化・高度化する中で、企業に求められるのは、単なるリスク認識や一時的な評価ではなく、継続的かつ戦略的なリスク管理の体制です。

　企業がサードパーティーやフォースパーティーと協力し業務を遂行していく限り、サプライチェーン上でのサイバーリスクの発生リスクは常に潜在しています。サードパーティーなど外部パートナーのリスクは、そのまま自社のリスクに起因する可能性が非常に高く、ベンダー評価は戦略的なリスク対策の要です。

　サイバーリスク関連の調査会社である米Cyentia Instituteと米SecurityScorecardが実施した調査によれば、98％の組織が「過去2年間にセキュリティ侵害を経験したサードパーティーの少なくとも1社と関係を持っていた」としています。約半数の組織では「少なくとも200社のフォースパーティーと間接的に取引があった」ことが判明しています。米IBMの『2023年データ漏洩コストレポート』によれば、サードパーティー経由の攻撃による損失額は平均455万ドルです。