Loading...

Loading...

JCICコラム

------------------------------------------------------------------------

サプライチェーンのサイバーリスクに関するガイドライン

------------------------------------------------------------------------
JCIC主任研究員 青木優美
2020年1月28日

■サプライチェーンリスクの変容

事業活動上、必要な資源を外部から調達する、あるいは自ら第三者へ資源を提供する、といった活動のつながり、いわゆる「サプライチェーン」の管理は、古くから経営課題として認識されてきました。「サプライチェーン」という語は、かつては製造業における原材料や部材の確保から消費、破棄に至るサイクルを指して用いられてました。経済のグローバル化が進展し、物や財、人、サービス、情報の取引がかつてない速度と規模で行われるに至り、調達製品や取引先とのやりとりから生じうるサイバーリスクもサプライチェーンリスクとして扱われるようになっています。脅威動向をみても、既存取引先との情報流通経路を介したサイバー攻撃が主要脅威シナリオのひとつになりつつあります1) 。こうした状況の下で、2018年4月には米国標準技術研究所(NIST)のFramework for Improving Critical Infrastructure Cybersecurityがバージョン1.1へ改定され、サプライチェーンリスク管理の項目群が新設されました2)
物品・役務調達に関するサプライチェーンリスクの管理策としては、事業継続の観点から代替調達先を確保する手法が広く採用されています。しかし、サイバーセキュリティの観点からは、取引先の増加は組織の露出(潜在的攻撃経路の増加)を意味するため、新たな管理を伴う点に注意する必要があります。

■リスク管理のアプローチ

サプライチェーンから新たな情報セキュリティ/サイバーリスクが持ち込まれうるというリスクに対応する手段として、情報セキュリティの取り組み状況に関する照会票を導入し、取引先の協力を得て情報を収集し、取引先の情報管理体制やインシデント対応態勢の成熟度を把握する方法が一般化しています。また、認証対応(自己適合宣言を含む)をもって一定程度の対策がとられていると判断する手法も広く用いられています3)。前者に関しては、需要者および供給者の負担を考えると、標準的な照会事項に自社固有の項目を付加するのが妥当と考えられます。後者の採用により、委託者にとっては調達要件の可視化、恣意性低減、説明責任能力の向上という効果を期待できます。受託者側では情報開示を適正・公平に行うことができるほか、多数の委託者からの照会に対応する負担の軽減を期待できます。

継続的な取引関係においては、相手先の情報セキュリティ対策を契約時点で確認するなどの予防的統制に加え、システムの状態やデータの流れを定期的にチェックする発見的統制を制度的、技術的アプローチから実施する必要があります。本稿では、サプライチェーン管理におけるサイバーセキュリティリスクをどのようにITガバナンスに組み入れるかを考える材料として、IT管理に関するガイドラインや認証規格のうち代表的なものをまとめました。

各組織の取り組みにあたっては、認識しているリスクから選択される対処・管理手法のほか、全企業に適用される原則、組織の規模、業種、取引関係などから準拠を求められる標準を採用することになります。こうしたガイドライン文書によって法律・規則に先んじて実践的な取り組み項目が定義される場合も少なくない4)ため、ガイドラインは社内体制整備のガイダンスとしてだけでなく、近未来の体制を考える際の参照枠組としても有用です。

サプライチェーンサイバーリスクに関する主要ガイドライン一覧(ITに関するもの)



  1. 1 小川 隆一・小山 明美「サプライチェーンのセキュリティ脅威に備える」2019年5月、情報処理推進機構。Accenture Security, "2019 Cyber Threatscape Report",pp.66-83, https://www.accenture.com/_acnmedia/pdf-107/accenture-security-cyber.pdf
  2. 2 NIST, Cybersecurity Framework Version 1.1, April 16, 2018, https://www.nist.gov/cyberframework/framework
  3. 3 例として、入札参加要件に「国内規格(JIS Q 27001)又は、国際規格(ISO/IEC 27001)を認証基準とする情報セキュリティマネジメントシステムの認証」の資格を取得している、又は同等の組織能力を有し、それを証明できること(東京国税局東局総会9-3)の項目が設けられるなどの施策が挙げられます。
  4. 4 清水真希子「民事におけるソフトロー」『法学セミナー』2019年9月号(通巻 776号)、日本評論社。