サプライチェーンリスク管理とは(サイバーセキュリティについて)
当社では、今後、技術提携をしているイスラエル企業のブログを紹介しております。
みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。
今回は当社の「サプライチェーンリスク評価サービス」で技術提携をしているPanorays Ltd.のブログ『サプライチェーンリスク管理とは』を紹介します。
Yaffa Klugerman@Panorays | 2020年5月6日
サプライチェーンリスク管理とは
サプライチェーンリスク管理とは、効果的な組織運営や事業運営のために、サプライチェーンを構成する「サプライヤー」や「サードパーティ」と呼ばれる第三者が提供するサービスを利用する場合において、自社の財務、評判、セキュリティなどへのリスクを最小限に抑えるためのプロセスのことを指します。現代社会では多くの企業がサプライチェーンの提供するサービスに大きく依存しているため、その管理がこれまで以上に重要になっています。
サプライチェーンリスク管理は正確にはどのように機能し、なぜ重要なのでしょうか?
サプライチェーンリスク管理の基本
まず基本から始めましょう。
「サプライチェーン」とは、自社と提携関係にあるサプライヤー、つまり、ベンダー、サービスプロバイダー、またはパートナーによって構成されています。子会社やグループ会社も含まれると言ってよいでしょう。従業員の生産性の維持に必要なソフトウェアを提供したり、調達、物流を担ったり、支払を代行で処理する場合もあります。
いずれの場合も、サプライチェーンは自社のセキュリティに直接的または間接的に何らかの影響を及ぼします。たとえば、データを扱うサプライヤーが情報漏洩を起こしたとします。直接的にはあなたの会社の落ち度ではなくても、結果はあなたの会社の情報漏洩となるのです。
サプライチェーンリスク管理とは、あなたの会社にとって各サプライヤーが如何なる役割を担っているのかを理解し、サプライチェーンを構成する各サプライヤーの現在のセキュリティ対策、および彼らの総合的な持続可能性を確認するためのプロセスです。
なぜサプライチェーンがセキュリティリスクとなり得るのか
サプライチェーンは、いくつかの理由により、あなたの会社のセキュリティ対策をより複雑にします。
第一に、多くの企業がサプライチェーンに頼らざるを得ないのが実情です。組織運営や事業運営のすべての側面を自社で処理することはほぼ不可能であるため、どの企業にも、一定のサプライチェーンリスクが伴います。
第二に、各サプライヤーは通常、あなたの会社が管理統制しているわけではなく、充分な透明性を確保できません。いくらあなたの会社が高度なセキュリティ基準と優れたリスク管理を導入していても、サプライヤーが必要な対策を講じていなければ、あなたの会社も危険に晒されることになる可能性があるのです。
第三に、サプライヤーがあなたの会社のネットワークへのアクセスを所有している場合、攻撃者にとって、サプライヤーあなたの会社のネットワークへの侵入ポイントとなり得るのです。たとえば、サプライヤーの環境にセキュリティ上の欠陥がある場合、そこを踏み台として、あなたの会社が侵害される可能性があります。
利用するサプライヤーが多いほど、危険に晒される可能性も増えるのです。
サプライチェーンがもたらすリスクの種類
提携関係にあるサプライヤーが原因で企業が直面するリスクにも、さまざまな種類があります。
特に深刻なものについて以下に説明します。
財務上および運営上のリスク
サプライヤーがサイバー攻撃を受けた場合、サプライチェーン全体の信頼や機能が損なわれ、最終的に収益に影響が及ぶ可能性があります。
風評リスク
サプライヤーがセキュリティ基準を満たしていないがために、サイバー攻撃を受けた場合、あなたの会社の評判に影響を及ぼす可能性があります。データの安全性確保について顧客からの信頼を失いかねません。
コンプライアンス違反のリスク
特定の業界では、複雑な規則や規制を遵守する必要があり、サプライチェーンとの安全な関係性を維持することも含まれる場合があります。サプライチェーンがあなたの事業運営に被害をもたらした場合、あなたの会社が顧客などから法的責任を問われる可能性があります。
なぜサプライチェーンリスク管理にリソースを投入するのか?
サプライチェーンリスク管理を実施するには、社内チームを利用するか、またはサプライチェーンリスク管理スペシャリストと連携します。いずれにせよ、そのプロセスには時間とお金がかかります。では、なぜサプライチェーンリスク管理に投資する必要があるのでしょうか?
コスト削減
第一に、サプライチェーンリスク管理は投資と考えるのが適切です。時間とお金の先行投資が必要ですが、長い目で見るとコスト削減につながります。データ侵害を受けた場合、数億円規模ではないかもしれませんが、損失が発生する可能性は大いにあり、効果的なサプライチェーンリスク管理戦略により、そうした事態に直面することを防ぐことができます。
コンプライアンス
第二に、サプライチェーンリスク管理は、多くの規制における要件の要素の1つです。業種や取り扱うデータの種類によっては、何らかの形でサプライチェーンリスク管理を実施することが法的に義務付けられている場合があります。従わないと、罰金を科されるか、損害賠償の責任を負うことになります。
知識と信頼
サプライチェーンリスク管理によって、提携関係にあるサプライヤーに関する知識と可視性も向上します。サプライチェーンのネットワークに自信を持っているほど、シームレスに業務を行えるようになります。
サプライチェーンリスク管理には何が必要か?
サプライチェーンリスク管理は、自社の安全を確保するための継続的な取り組みであり、以下のステップに従います。
ステップ1: 分析
機密情報を扱うか否かなど、事業主との関係性に基づく潜在リスクと実施されるべきデューデリジェンスのレベルを特定します。これに基づき、サプライチェーンのセキュリティ体制を評価し、ギャップ分析を実行します。
ステップ2: エンゲージメント
改善に向けた取り組みは事業主と各サプライヤーの共同作業です。この脆弱性に対し、パッチを当てましょうなど改善すべき点を指摘し、リスクの軽減に向けて共同で取り組みます。
ステップ3: 修正
各サプライヤーは、指摘を受けたリスクのある箇所の修正を行います。
ステップ4: 可否判断
事業主は、自社が設定するリスク許容度に基づいてサプライヤーに業務を委託するかなどの可否判断を下します。
ステップ5: 監視
事業主は、サイバーギャップを検出するためにサプライチェーンを監視し続けます。
サプライチェーンリスク管理のサービスをお探しですか?
SOMPO CYBER SECURITYではPanorays社と技術提携をして「サプライチェーンリスク評価サービス」を提供しています。現状を把握し、リスクの軽減に取り組んでみませんか?
詳細はSOMPO CYBER SECURITYまでお問い合わせください。
