本連載「松岡功の『今週の明言』」では毎週、ICT業界のキーパーソンたちが記者会見やイベントなどで明言した言葉を幾つか取り上げ、その意味や背景などを解説している。
今回は、パロアルトネットワークス チーフサイバーセキュリティストラテジストの染谷征良氏と、Trellix セールスエンジニアリング シニアディレクターの櫻井秀光氏の発言を紹介する。
「企業はサプライチェーンリスクを自組織の『自分事』として捉えよ」
(パロアルトネットワークス チーフサイバーセキュリティストラテジストの染谷征良氏)
パロアルトネットワークス チーフサイバーセキュリティストラテジストの染谷征良氏
パロアルトネットワークスは先頃、「サプライチェーンリスク」について同社が実施した国内調査の内容を公開するとともに、この分野の動きについてオンラインで記者説明会を開いた。染谷氏の冒頭の発言はその会見の質疑応答で、「ユーザーはサプライチェーンリスクに対して何を心掛ければよいか」と聞いた筆者の質問に答えたものである。
経済産業省の説明によると、サプライチェーンとは「商品の企画・開発から、原材料や部品などの調達、生産、在庫管理、配送、販売、消費までのプロセス全体を指し、商品が最終消費者に届くまでの『供給の連鎖』」で、その連鎖が途絶えるリスクは至る所にある。
中でもITセキュリティベンダーの同社が取り上げるのは、サプライチェーンを支えるITに対するセキュリティリスクだ。染谷氏はITセキュリティにおけるサプライチェーンリスクについて、「部品や製品、サービスの供給元や組織の利害関係者の過失、故意により発生し得るさまざまなITセキュリティ上のリスク」と説明。そのインシデントの発生源は「取引先」「国内拠点・関係会社」「海外拠点・関係会社」「ソフトウェア・ハードウェアベンダー」「サービス事業者」「オープンソースソフトウェア」「業務委託先(IT業務)」「業務委託先(非IT業務)」「関係組織・団体」といった9つに分類され、「多岐にわたる」と強調した。
国内のサプライチェーンセキュリティインシデントの発生状況や被害内容、リスクの変化、対策上の課題などをまとめた独自の調査レポートとして、同社はこのほど「サプライチェーンリスクジャパンレポート2022」を公開した。その内容については発表資料をご覧いただくとして、ここではその一部だけを紹介しておこう。
染谷氏によると、「自組織のビジネスやセキュリティに影響のあるサプライチェーンに起因したセキュリティインシデントを調査対象の63%が経験している」とし、上記の9つの発生源ごとの割合を図1に示した。また、サプライチェーンリスク対策における課題として、「全てのサプライチェーンの把握が困難」「取引先に対策を強制できない」「全てのIT資産の把握が困難」「国内外の法規制やガイドラインへの対応」「明確な自組織の指針の欠如」の5つを挙げ、「特にセキュリティの実効性を妨げる可視性と強制力の欠如が最大の課題だ」と指摘した。
図1:国内のサプライチェーンセキュリティインシデントの発生源(出典:パロアルトネットワークス)
では、そうした課題を解消するにはどうすればよいのか。同氏はサプライチェーンリスクへの対策として図2に示す5つを挙げ、「特に説明責任が果たせるサイバーセキュリティの取り組みがこれから一層大事になる」と強調した。
図2:サプライチェーンリスクへの対策(出典:パロアルトネットワークス)
会見の質疑応答で、「ITセキュリティを含めたサプライチェーンリスクに対して、ユーザーとしてはどんなことを心がける必要があるか」と聞いてみたところ、染谷氏は次のように答えた。
「サプライチェーンリスクは多岐にわたって存在するので、全体を把握するのが難しい。したがって、ITを駆使してそれらを可視化し、どこで問題が起きてもそれを『自分事』と捉えて迅速に対処することが肝要だ」
サプライチェーンリスクは今後、地政学リスクとも密接に関係してくる。企業におけるリスクマネジメントにおいて、最重要課題として捉える必要がありそうだ。