catch-img

サプライチェーンリスクとは?セキュリティリスクや対策方法をわかりやすく解説

著者・監修|株式会社エルテス編集部主なデジタルリスク

サプライチェーンは、あらゆるビジネスにおいて基盤となる重要な仕組みです。しかし、その分、セキュリティリスクは大きな脅威となり、広い範囲に波及して重大な被害をもたらす可能性があります。今回は、サプライチェーンリスクの基本情報や、対策方法について解説します。


目次[非表示]

  1. 1.サプライチェーンとは?
  2. 2.サプライチェーンリスクとは
  3. 3.サプライチェーン攻撃の3つの種類
    1. 3.1.ビジネスサプライチェーン攻撃
    2. 3.2.サービスサプライチェーン攻撃
    3. 3.3.ソフトウェアサプライチェーン攻撃
  4. 4.サプライチェーンリスクが発生する要因
    1. 4.1.関連会社や取引先のセキュリティの脆弱性
    2. 4.2.自社や委託先企業など内部の人的ミス
    3. 4.3.自社や委託先企業など内部の不正行為
  5. 5.サプライチェーンリスクマネジメントで注意すべきポイント
    1. 5.1.サプライチェーンにおけるセキュリティの標準化の難しさ
    2. 5.2.サプライチェーンの仕組みの再構成の難しさ
  6. 6.サプライチェーンリスクの対策方針
    1. 6.1.現状のセキュリティを把握し、課題の洗い出しと適切な対策を実施する
    2. 6.2.徹底的なセキュリティ教育と、不正を予防する仕組みづくり
    3. 6.3.システム開発や保守業務の十分な人員確保
    4. 6.4.関連企業のリスク評価と、パートナー企業・導入製品の慎重な選定
    5. 6.5.取引先や委託先とセキュリティ契約を結ぶ
    6. 6.6.契約書の中にサプライチェーンリスクを想定した内容を盛り込む
  7. 7.サプライチェーンリスク対策にも活用できる「内部脅威検知サービス」とは


サプライチェーンとは?

サプライチェーンの説明

サプライチェーンとは、商品が企画・開発されてから最終的に消費者の元に届くまでの流れ全体のことを指します。

わかりやすく、パンが消費者に届くまでのプロセスを考えてみましょう。パンの主要原材料である小麦粉は、まず農家が小麦を育てて調達します。それを製粉会社が小麦粉に加工し、メーカーがそれらの材料を使ってパンを製造します。完成したパンは物流業者によって配送センターや、スーパーなどの店舗に配送されます。そして、売り場に置かれたパンを消費者が購入していきます。

このように多くの企業や組織は、様々な関連企業や委託先と関わりを持ちながら段階を踏んで消費者まで届けられます。


サプライチェーンリスクとは

サプライチェーンリスクとは、サプライチェーンにおいて自社が何かしらの被害を受けるリスクのことです。
 
従来は、自然災害やパンデミックなどのトラブルで機能停止し、供給が滞ってしまう場合を「物理的なサプライチェーンリスク」が代表されていました。しかし昨今は、不正サクセスなどのサイバー攻撃を受けて被害が発生する、「サイバーサプライチェーンリスク」のことを指すことが増えました。
 
IPAが公表した「情報セキュリティ10大脅威2024」では前年同様2位にランクインしており、情報セキュリティの観点でも影響が大きいことが考えられます。
 
参考:IPA「情報セキュリティ10大脅威2024」


サプライチェーン攻撃の3つの種類

サプライチェーンリスクの要因のうち、第三者が悪意を持って、サプライチェーンをターゲットとした攻撃を行うことを「サプライチェーン攻撃」といいます。そして、このサプライチェーン攻撃には次の3種類のパターンが存在します。

 

ビジネスサプライチェーン攻撃


ターゲットとなる企業の関連会社(委託先など)を起点とするサイバー攻撃を、ビジネスサプライチェーン攻撃といいます。

サプライチェーン攻撃のターゲットとなりやすい大企業の多くは、セキュリティ対策を厳重に行っている傾向にあります。そのため、ビジネスサプライチェーン攻撃は、セキュリティ対策が比較的手薄と考えられる関連会社に攻撃を仕掛けます。こうしてサプライチェーンの中の他の組織を経由することで、最終的なターゲットへの侵入を狙うという手段です。


サービスサプライチェーン攻撃

攻撃のターゲットである企業が、導入しているサービスの提供元を起点とするサイバー攻撃を、サービスサプライチェーン攻撃といいます。

ターゲットの企業が利用しているクラウドサービスや外部ITプロバイダーなどが攻撃される場合が多いです。攻撃の手口としては、サービス提供に利用されている回線を通じて、ターゲットとなる企業内のネットワークに到達することで、機密情報を盗んだりデータを改ざんしたりというものになります。


ソフトウェアサプライチェーン攻撃

ソフトウェアの開発から提供までのプロセスで侵入を狙い、不正なコードやマルウェアを仕掛けるサイバー攻撃を、ソフトウェアサプライチェーン攻撃といいます。

ソフトウェアサプライチェーン攻撃を受けたソフトウェアには、製品として提供される段階でマルウェアが侵入していることになります。そして、製品が提供された後も不正なプログラムをまき散らすことにより、さらに被害が拡大する場合もあります。


サプライチェーンリスクが発生する要因

サプライチェーンは企業にとってビジネスの基盤となるため、悪意のある第三者に攻撃をされた場合には大きな被害が生じる可能性が高いです。そんなサプライチェーンリスクが発生する原因は何でしょうか。

サプライチェーンリスクの主な原因として、次の3つが挙げられます。


関連会社や取引先のセキュリティの脆弱性


前述したビジネスサプライチェーン攻撃の手法にもあったように、ターゲットとなる企業の関連会社や取引先のセキュリティ対策が十分でない場合、そこから攻撃者に狙われる可能性が高いです。

一度、関連会社や取引先において不正アクセスが発生すると、攻撃者はその企業のネットワークやシステムを経由して徐々にターゲットとなる企業へ接近します。

一つの企業にセキュリティの脆弱性がある場合、それは企業個別の問題にとどまらず、サプライチェーン全体の安全性を揺るがす重大なリスク要因となります。


自社や委託先企業など内部の人的ミス

内部関係者による人的ミスが、セキュリティ上のリスクとなるケースも少なくありません。この「内部関係者」とは、自社の従業員に限らず、取引先や関連会社、委託先の会社の従業員も含まれます。

例として、データベースの管理を委託されている事業者がアクセス権限の設定を誤ったことにより、外部からデータベースにアクセス可能な状態になってしまう場合が挙げられます。このような事態は、セキュリティ対策が十分でない領域を狙う攻撃者にとって、格好の機会となります。


自社や委託先企業など内部の不正行為

内部関係者による不正行為もサプライチェーンリスクの要因に該当します。典型的な例として、従業員が転職に伴い機密情報を持ち出して、外部に譲渡・売却するといったケースが挙げられます。
 
前述した内部の人的ミスと同じく、自社の従業員だけでなく取引先や関連会社、業務委託先の従業員による不正行為も想定されます。

▼転職者による情報持ち出しの詳細についてはこちら

  【資料】 事例から学ぶ、転職者による情報持ち出しの特徴 | エルテス 日本で発生する情報漏えいの多くは組織の内部関係者を起因としています。その中でも、従業員の情報持ち出し対策の一助となる、転職者が情報を持ち出す際の行動の特徴と対策をまとめました。ぜひご活用ください。 株式会社エルテス


サプライチェーンリスクマネジメントで注意すべきポイント

ポイント


前述した通り、IPAの「情報セキュリティ10大脅威」の組織におけるランキングで、「サプライチェーンの弱点を悪用した攻撃」は2023年から2年連続2位になるなど、大きな脅威であることがわかります。

対策としてサプライチェーンリスクマネジメントを行っていくことが求められていますが、実施する上で認識しておくべき注意点があります。


サプライチェーンにおけるセキュリティの標準化の難しさ

一般的にサプライチェーンには自社だけでなく、複数の外部企業が関与しています。この構造上の特性から、自社のセキュリティ基準をサプライチェーン全体に統一して適用することは非常に難しいのが現実です。各企業のセキュリティ対策のレベルや対応能力は異なり、全体の強度を一定以上に保つためには多くの調整が必要となります。

そのため、サプライチェーンリスクマネジメントには強度が弱い部分が生まれやすい傾向にあります。そのため、そこを攻撃の対象としたビジネスサプライチェーン攻撃を受けてしまう可能性も考えられます。



サプライチェーンの仕組みの再構成の難しさ


大規模なリスク対策を実施する際には、既存のサプライチェーンの仕組みを再構成する必要に迫られることがあります。その理由として、現状のサプライチェーン構造は、セキュリティの不安よりも効率性を重視して整備されている場合が多いからです。

特に競争が激しい市場環境下にいる企業は、リスク対策のためにすでに効率化されている既存のサプライチェーンの大幅な変更は困難が伴います。場合によっては、短期的な競争力低下を招く可能性があるため、多くの企業の判断が慎重になります。


サプライチェーンリスクの対策方針

サプライチェーンリスクは複数の要因が複雑に絡み合っています。単一の対策を実施しただけでは、全てのリスクを完全に解消することはできません。そこで、次に紹介する対策を1つ1つ積み重ねることで、リスクを低減させることが必要になります。


現状のセキュリティを把握し、課題の洗い出しと適切な対策を実施する

第一に、自社のセキュリティ状況を正確に把握し、課題を特定します。現状の分析をもとに適切な対策を講じることで、脅威に対処する基盤が整います。

サプライチェーン攻撃のような特定が難しいリスクに備えるためには、脅威の侵入を防ぐ対策だけでなく、万が一侵入した場合を想定した対応策も必要です。

また、PCやスマートフォンなどのエンドポイントセキュリティを強化し、端末が不正アクセスやマルウェア感染に遭った際に、迅速かつ適切に対応できる体制を構築することも求められます。


徹底的なセキュリティ教育と、不正を予防する仕組みづくり

誤送信や誤操作、また内部不正行為といった人的リスクに対しても、十分な対策をしていきましょう。

セキュリティ教育を徹底し、従業員のセキュリティ意識を高めるとともに、不正行為を起こしにくい仕組みを作ることが大切です。具体的には、アクセス権限の厳格な管理や、USBメモリを始めとした外部記憶メディアの使用制限などで、情報漏洩のリスクを減少させることができます。

他にも、ログ管理や監視システムを強化し、不正アクセスや異常な操作があった際には、いち早く対応できる体制を整備することも有効な手段です。

▼こちらも読まれています

  内部不正による情報漏洩はなぜ発生する?事例と不正防止の基本を紹介 情報漏洩は内部不正が原因で発生する場合があり、企業は常に細心の注意を払う必要があります。この記事では、内部不正による情報漏洩の事例と原因、防止するための基本原則を解説します。 株式会社エルテス


システム開発や保守業務の十分な人員確保

安全な開発環境の整備を進めるとともに、開発や保守業務を適切に遂行するための十分な人員を確保することも重要です。適切なスキルを持つ人材がいることで、セキュリティリスクを減少させることが期待できます。

また、定期的にセキュリティレビューやテストの実施をすることは、リスクを最小限に抑えることに効果的です。システムが適切なセキュリティレベルを維持しているかをコンスタントに確認することで、脆弱性の早期発見・修正ができます。


関連企業のリスク評価と、パートナー企業・導入製品の慎重な選定

関連企業がどのようにセキュリティ対策を行っているのかなど、リスク評価を実施しておくことも重要です。新たにパートナー企業や導入製品を選定する際には、セキュリティ対策も重要な選定項目として加えましょう。

リスク評価の際の確認ポイントとして、ISMS(情報セキュリティマネジメントシステム)認証の取得の有無などが挙げられます。このようなポイントから、その企業が情報セキュリティの重要性を認識しているか、適切に管理できているのか、などを判断できます。


取引先や委託先とセキュリティ契約を結ぶ

取引先や委託先とセキュリティに関する契約を締結し、責任の範囲や所在を明確にしておくことが重要です。契約を締結している場合、万が一インシデントが発生した際に、契約の条項に基づいて責任を適切に分担することができます。

このような事前の合意があることで、トラブルを回避できる可能性が高くなるだけでなく、被害の拡大を防ぐことに繋がります。


契約書の中にサプライチェーンリスクを想定した内容を盛り込む

パートナー企業との契約書には、サプライチェーンリスクを考慮した内容を盛り込むようにしましょう。具体的には、再委託時の監督責任や、インシデント発生時の責任範囲を契約書に明記しておくことが挙げられます。

このように契約書に明記しておくことで曖昧な情報をできるだけ減らし、有事の際にそれぞれの企業がスムーズに対応できるようにしておきましょう。


サプライチェーンリスク対策にも活用できる「内部脅威検知サービス」とは

サプライチェーンリスクの要因には、サイバー攻撃といった外部からの攻撃だけでなく、内部不正も含まれます。エルテスが提供する内部脅威検知サービス(Internal Risk Intelligence)は、その内部不正をはじめとした、企業内部で起こるリスクの検知サービスとして活用いただくことができます。

本サービスは、勤怠データやPCログなど企業が保有する様々な内部ログデータを分析し、その内部に潜むリスクの予兆を検知します。

たとえば、特定の従業員の残業時間の急増と、業務で普段使用しない顧客リストへのアクセスなどが同時に起きていた場合、従業員による顧客情報の持ち出しリスクが示唆され、お客様へアラートを通知します。

エルテスの内部脅威検知サービスは、単一のデータだけでは検知できないリスクでも、複数のデータを横断して分析することで、企業内部で起こるリスクを予兆から検知できるようになっています。そのため、サプライチェーンリスクにも繋がり得る内部不正の検知にも活用可能です。

サービスの詳しい機能や活用事例を知りたい方はお気軽にご相談ください。

▶「内部脅威検知サービス 」の詳細はこちら



▼「内部脅威検知サービス」によるリスク検知事例はこちら

  【資料】内部脅威 検知事例集 ~IRIサービス~ | エルテス エルテスの提供する内部脅威検知サービス(IRIサービス)で、情報持ち出しや超過勤務(隠れ残業)などの社内脅威を実際に検知した事例をまとめました。無料でダウンロードできますので、業務にお役立てください。 株式会社エルテス


内部脅威の対策相談はエルテスへ


コラム一覧へ戻る


    著者・監修|株式会社エルテス編集部
    著者・監修|株式会社エルテス編集部
    株式会社エルテスは、これまで多種多様な企業のデジタルリスク対策に尽力してきたノウハウを生かし、企業のリスク課題・デジタル課題に役立つコンテンツを提供しています。 編集部ではネット炎上やSNS運用トラブル、ネット上の風評被害・誹謗中傷、情報セキュリティ対策など様々なビジネスのリスク課題に関するコラムを発信しています。

    前の記事

    prev-article-image

    生成AIは著作権違反?ビジネスで使用できる?著作物として扱われる条件を徹底解説

    次の記事

    next-article-image

    インシデントとは?アクシデントとの違い、インシデント管理について紹介

    CONTACT
    見出し2装飾

    上場しているからこその透明性の高いサービスを提供
    1,000社以上への提供実績

    お電話でのお問い合わせはこちら
    03-6550-9281
    (平日10:00~18:00)
    ご不明な点はお気軽に
    お問い合わせください
    お問い合わせ
    デジタルリスクに関するお役立ち資料を
    ご用意しています
    資料ダウンロード
    -SEARCH-
    記事を探す
    -PICKUP-
    〈問い合わせ〉リスク対策を提案するエルテスの無料相談。
    -SEMINAR-
    開催予定のセミナー
    他のセミナーを探す
    -WHITEPAPER-
    お役立ち資料
    他のお役立ち資料を探す
    -COLUMN-
    人気記事
    株式会社エルテス
    ページトップへ戻る

    ©Eltes Co.,Ltd.