本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。
「取引先のセキュリティ要求が厳しくなっている」――製造を中心に、企業からこんな声が聞こえてくる。同時に、セキュリティに関連する2022年度の政策のほとんどでキーワードになっているのが、サプライチェーンにおけるセキュリティリスク(以降は「サプライチェーンリスク」)だ。今回は、この増大するサプライチェーンリスクを取り巻く最新の動向を振り返りながら、これからビジネスを作る・守る観点で何ができるのかを考えてみたい。
近年は、自動車産業での部品メーカーのランサムウェア被害がセットメーカーの工場を稼働停止に追い込んだインシデントに加えて、ソフトウェアサプライチェーン(ソフトウェア製品の開発や更新、保守などにおけるつながり)や業務委託先に起因した医療機関でのランサムウェア被害が続発している。セキュリティリスクがエコシステムや社会全体、そして人命にも影響を及ぼすものになり、サプライチェーンリスクに対する温度感は明らかに高くなっている。
コロナ禍でのサプライチェーンリスクの高まりを受けて記事を書いた1年半前と比較しても、懸念は一層高まっている。サプライチェーンに起因したセキュリティインシデントを2021年に経験した民間企業や公的機関は、国内に約6割もいるという調査結果もあり、その高い温度感の背景をうかがい知ることができる。
「サプライチェーンリスク」は政策の中心的なキーワードに
このような高まるサプライチェーンリスクの温度感の裏返しとして、セキュリティに関連したさまざまな政策の中で共通している点がある。それこそ、サプライチェーンリスクがテーマになっていることだ。その一例が、前回の記事でも取り上げた防衛装備庁の「防衛産業サイバーセキュリティ基準」だ。2022年4月に発表されたもので、米国国立標準技術研究所(NIST)の「SP800-171」レベルのセキュリティを防衛調達において求めるというものである。政府のサイバーセキュリティ戦略本部が発行した「重要インフラのサイバーセキュリティに係る行動計画」(PDF)でも、重要インフラ関連のサプライチェーンに属する事業者も対象となる中で、損害発生時の経営層や監査役の損害賠償責任の明記という形で2022年6月に温度感が変わった。
経済産業省「サイバーセキュリティ経営ガイドライン」もバージョン3.0への改訂に向けて2022年10~12月にパブリックコメントが募集され、サプライチェーンを含めた取り組みが変更点の1つになっている。また、業種に特化した動きとして、同じく経済産業省から「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」が2022年11月に公開され、ここでも取引先や調達先に対するセキュリティ対策の要請、対策状況の確認が盛り込まれている。
似たような動きは国内にとどまらない。英国では、国家サイバーセキュリティセンター(NCSC)がサプライチェーン攻撃の深刻化を受けて新たなガイダンスを2022年10月に発表している。米国では、サイバーセキュリティ・社会基盤安全保障庁(CISA)、国家安全保障局(NSA)、国家情報局(ODNI)が合同で「Securing the Software Supply Chain: Recommended Practices」という開発者向け、サプライヤー向け、顧客向けの3本立てのガイダンスを2022年11月に公開した。今、サプライチェーンリスクが世界的にも大きなテーマになっていることに議論の余地はない。