SOMPO CYBER SECURITY
当社では、今後、技術提携をしているイスラエル企業のブログを紹介しております。
みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。
今回は当社の「サプライチェーンリスク評価サービス」で技術提携をしているPanorays Ltd.のブログ『サプライチェーンリスク管理とは』を紹介します。
Yaffa Klugerman@Panorays | 2020年5月6日
サプライチェーンリスク管理とは、効果的な組織運営や事業運営のために、サプライチェーンを構成する「サプライヤー」や「サードパーティ」と呼ばれる第三者が提供するサービスを利用する場合において、自社の財務、評判、セキュリティなどへのリスクを最小限に抑えるためのプロセスのことを指します。現代社会では多くの企業がサプライチェーンの提供するサービスに大きく依存しているため、その管理がこれまで以上に重要になっています。
サプライチェーンリスク管理は正確にはどのように機能し、なぜ重要なのでしょうか?
まず基本から始めましょう。
「サプライチェーン」とは、自社と提携関係にあるサプライヤー、つまり、ベンダー、サービスプロバイダー、またはパートナーによって構成されています。子会社やグループ会社も含まれると言ってよいでしょう。従業員の生産性の維持に必要なソフトウェアを提供したり、調達、物流を担ったり、支払を代行で処理する場合もあります。
いずれの場合も、サプライチェーンは自社のセキュリティに直接的または間接的に何らかの影響を及ぼします。たとえば、データを扱うサプライヤーが情報漏洩を起こしたとします。直接的にはあなたの会社の落ち度ではなくても、結果はあなたの会社の情報漏洩となるのです。
サプライチェーンリスク管理とは、あなたの会社にとって各サプライヤーが如何なる役割を担っているのかを理解し、サプライチェーンを構成する各サプライヤーの現在のセキュリティ対策、および彼らの総合的な持続可能性を確認するためのプロセスです。
サプライチェーンは、いくつかの理由により、あなたの会社のセキュリティ対策をより複雑にします。
第一に、多くの企業がサプライチェーンに頼らざるを得ないのが実情です。組織運営や事業運営のすべての側面を自社で処理することはほぼ不可能であるため、どの企業にも、一定のサプライチェーンリスクが伴います。
第二に、各サプライヤーは通常、あなたの会社が管理統制しているわけではなく、充分な透明性を確保できません。いくらあなたの会社が高度なセキュリティ基準と優れたリスク管理を導入していても、サプライヤーが必要な対策を講じていなければ、あなたの会社も危険に晒されることになる可能性があるのです。
第三に、サプライヤーがあなたの会社のネットワークへのアクセスを所有している場合、攻撃者にとって、サプライヤーあなたの会社のネットワークへの侵入ポイントとなり得るのです。たとえば、サプライヤーの環境にセキュリティ上の欠陥がある場合、そこを踏み台として、あなたの会社が侵害される可能性があります。
利用するサプライヤーが多いほど、危険に晒される可能性も増えるのです。
提携関係にあるサプライヤーが原因で企業が直面するリスクにも、さまざまな種類があります。
特に深刻なものについて以下に説明します。
サプライヤーがサイバー攻撃を受けた場合、サプライチェーン全体の信頼や機能が損なわれ、最終的に収益に影響が及ぶ可能性があります。
サプライヤーがセキュリティ基準を満たしていないがために、サイバー攻撃を受けた場合、あなたの会社の評判に影響を及ぼす可能性があります。データの安全性確保について顧客からの信頼を失いかねません。
特定の業界では、複雑な規則や規制を遵守する必要があり、サプライチェーンとの安全な関係性を維持することも含まれる場合があります。サプライチェーンがあなたの事業運営に被害をもたらした場合、あなたの会社が顧客などから法的責任を問われる可能性があります。
サプライチェーンリスク管理を実施するには、社内チームを利用するか、またはサプライチェーンリスク管理スペシャリストと連携します。いずれにせよ、そのプロセスには時間とお金がかかります。では、なぜサプライチェーンリスク管理に投資する必要があるのでしょうか?
第一に、サプライチェーンリスク管理は投資と考えるのが適切です。時間とお金の先行投資が必要ですが、長い目で見るとコスト削減につながります。データ侵害を受けた場合、数億円規模ではないかもしれませんが、損失が発生する可能性は大いにあり、効果的なサプライチェーンリスク管理戦略により、そうした事態に直面することを防ぐことができます。
第二に、サプライチェーンリスク管理は、多くの規制における要件の要素の1つです。業種や取り扱うデータの種類によっては、何らかの形でサプライチェーンリスク管理を実施することが法的に義務付けられている場合があります。従わないと、罰金を科されるか、損害賠償の責任を負うことになります。
サプライチェーンリスク管理によって、提携関係にあるサプライヤーに関する知識と可視性も向上します。サプライチェーンのネットワークに自信を持っているほど、シームレスに業務を行えるようになります。
サプライチェーンリスク管理は、自社の安全を確保するための継続的な取り組みであり、以下のステップに従います。
機密情報を扱うか否かなど、事業主との関係性に基づく潜在リスクと実施されるべきデューデリジェンスのレベルを特定します。これに基づき、サプライチェーンのセキュリティ体制を評価し、ギャップ分析を実行します。
改善に向けた取り組みは事業主と各サプライヤーの共同作業です。この脆弱性に対し、パッチを当てましょうなど改善すべき点を指摘し、リスクの軽減に向けて共同で取り組みます。
各サプライヤーは、指摘を受けたリスクのある箇所の修正を行います。
事業主は、自社が設定するリスク許容度に基づいてサプライヤーに業務を委託するかなどの可否判断を下します。
事業主は、サイバーギャップを検出するためにサプライチェーンを監視し続けます。
SOMPO CYBER SECURITYではPanorays社と技術提携をして「サプライチェーンリスク評価サービス」を提供しています。現状を把握し、リスクの軽減に取り組んでみませんか?
詳細はSOMPO CYBER SECURITYまでお問い合わせください。
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年4月 2024.4.17追記本記事公開後、当該脆弱性の悪用条件等の更新が行われています。最新の情報はP...
サプライチェーンリスク評価サービス『Panorays』の採用事例として、株式会社ダイフクさまにお話をうかがいました。 近未来を想像させる大阪市内にある真新しい本社ビルで、サプライチェーンリスク評価サービス『Panorays』の採用事例の取材をさせて頂いたのは、日本国内外でビジネスを大きく成長させている製造大手の株式会社ダイフクさまです。実際の運用はまだこれからという段階であり、採用に至った背景や理...
当社が提供するサプライチェーンリスク評価サービス『Panorays』を使った組織のセキュリティ態勢強化の事例です。 日本国内外でビジネスを大きく成長させている製造大手の株式会社ダイフクさまの取り組みを紹介します。実際の運用はまだこれからという段階であり、採用に至った背景や理由をうかがうための取材だったのですが、大切な海外のロイヤルカスタマーから、サプライチェーンリスク管理の一環として、Panora...
イベント詳細・お申し込み(IIJ Globalサイトへ移動) 当社サプライチェーンリスク評価サービスPanoraysについてはこちら セミナー概要 サプライチェーンの強靭化、カーボンニュートラルへの移行、「もの売りからコト売り」へのシフト等、製造業は多くの対応を迫られています。製造現場における制御システムの領域においても、環境変化に対応すべく製造DXの取り組みが加速していますが、DXが進むほどサイ...