企業が商品やサービスを市場に届けるまでの流れは、調達・生産・流通・販売などに分かれ、複数の企業や拠点がかかわります。この一連の流れをまとめて「サプライチェーン」と呼びますが、連携が広がるほど不測の事態も増え、思わぬ形で経営を揺るがすおそれがあります。いわゆる「サプライチェーンリスク」です。
本記事では、サプライチェーンリスクやサプライチェーン攻撃の種類、被害事例、そして対策のポイントを解説します。昨今、脅威が高まっているサプライチェーンリスクや、その対策について理解を深めたい方はぜひご覧ください。
そもそもサプライチェーンとは
サプライチェーンとは、モノづくりやサービス提供の過程において、調達・生産・流通・販売・アフターケアといった工程をひとつの流れとしてとらえ、連携・最適化を図る仕組みを指します。
たとえば、自動車メーカーなら、部品メーカーや組立工場、物流企業、販売店など、多様なプレイヤーがつながり合うことで一台の車を完成させ、ユーザーに届けています。
複数企業や拠点が関わるサプライチェーンがうまく機能すれば、生産コストや納期の短縮、顧客満足度の向上といったメリットが得られます。
デジタル技術が発達し、多拠点の情報をリアルタイムで可視化して管理する「サプライチェーン マネジメント(SCM)」が普及したことで、世界規模の効率化も可能になりました。しかし、連携が増えるほど弱点が生まれやすくなる側面もあり、思わぬリスクやトラブルが広範囲に波及する懸念が高まっています。
サプライチェーンリスクとは
サプライチェーンリスクとは、サプライチェーンを構成する企業や拠点で発生したトラブルが、ほかの工程や関連企業にも影響を及ぼすリスク全般を指します。自然災害で拠点が被災して生産停止に陥る場合や、主要サプライヤーが倒産して部品調達が止まるケースなどが代表的です。
とくに近年増えているのが、サイバー攻撃や情報漏洩といった、デジタル時代特有のリスクです。取引先や下請け企業のセキュリティ対策が不十分だと、攻撃者がそこから侵入して本来標的とする大企業に一気にダメージを与える可能性があります。
こうした事態を防ぐには、自社だけでなく関連企業を含むネットワーク全体を見据えたリスク管理が重要です。
サプライチェーン攻撃の種類
サプライチェーンリスクの中でも、近年注目を集めているのがサイバー攻撃を利用する「サプライチェーン攻撃」です。
サプライチェーン攻撃の種類は以下のようなものがあります。
- ビジネスサプライチェーン攻撃
- ソフトウェアサプライチェーン攻撃
- サービスサプライチェーン攻撃
順に解説していきます。
ビジネスサプライチェーン攻撃
取引先や下請け企業の権限・接続経路を通じて、本来狙いたい大企業へ侵入する手法です。
小規模な協力会社のネットワークが攻撃者から見て標的になりやすいのが特徴で、正規のルートを使って大企業のシステムや機密情報を盗むケースがあります。
ソフトウェアサプライチェーン攻撃
ソフトウェアの開発元やアップデートサーバーを汚染し、正規版にマルウェアを仕込む攻撃です。
利用者は公式の更新だと信じ込むため、広範囲のユーザー企業に被害が及ぶ可能性があります。大手IT企業や公共機関も巻き込まれる事態が世界的に報告されています。
サービスサプライチェーン攻撃
企業が利用するクラウドサービスや委託先企業のシステムを最初に攻撃し、本体企業への侵入を狙う方法です。バックオフィス業務をアウトソーシングしている先が被害に遭うと、大量の顧客情報や経営データが流出するおそれがあります。
サプライチェーンリスクが発生する原因
サプライチェーンリスクは多様な経路で発生しますが、とくにセキュリティ面では次のような原因が大きな懸念となっています。
- 関連会社のセキュリティ対策が不適切
- 関連会社の被害が波及
- 社内の人為的ミスや不正行為
順に解説していきます。
関連会社のセキュリティ対策が不適切
自社だけ万全を期しても、取引先や下請け企業がセキュリティを軽視していれば、その弱点を突かれて攻撃者が侵入する可能性が高まります。
中小企業や海外拠点など、IT対策の予算や人材が不足している企業は攻撃者にとって狙いやすい標的になりがちです。
関連会社の被害が波及
供給源である工場が停止すれば、自社の生産ラインも動かなくなりますし、物流拠点が麻痺すれば最終製品が届きません。サプライチェーンは縦横に連結しているため、一か所の損害が一気に全体へ連鎖する構造的リスクを抱えています。
社内の人為的ミスや不正行為
外部攻撃だけでなく、社内ミスや内部犯行もリスク要因です。誤送信や不適切な権限設定など、うっかりしたヒューマンエラーが情報漏洩を招く場合があります。
内部者による不正アクセスや情報持ち出しは、サプライチェーン全体の信頼を崩しかねません。
サプライチェーンリスク関連の被害事例
サプライチェーン上で起きるトラブルは、企業内だけで対処可能なものから外部の委託先・関連企業にまで波及するものまで、多岐にわたります。
ここでは、代表的な事例を3つご紹介します。
- ECサイトの顧客情報の漏洩
- マルウェア感染被害により工場の生産ライン停止
- サイバー攻撃により工場の一時稼働停止
順に解説していきます。
事例1:ECサイトの顧客情報漏洩
ECサイトを運営するABC-MART、および外部サービスを提供していたショーケース社で起きた事案です。
2022年7月24日から26日の期間、ABC-MART公式オンラインストアのクレジットカード入力フォームに不正なスクリプトが仕込まれ、2,000件を超えるカード情報が外部流出した可能性があると発表されました。
原因は、サイトの画面表示を最適化するサービスが第三者に改ざんされたことによるものであり、本サイト自体のプログラム改ざんはなかったものの、当該外部サービス経由でカード情報が抜き取られた形です。
この事例は、ECサイトが外部のWebサービスを利用する際に、そのサービス側でセキュリティホールが生じれば、自社顧客の個人情報までもが危険にさらされることを示しています。
参照元:個人情報漏えいの可能性に関するお詫びとお知らせ | ABC-MART 【公式通販】
事例2:マルウェア感染被害により工場の生産ライン停止
2022年2月、小島プレス工業(トヨタ自動車の部品サプライヤー)がマルウェア感染を受けた件が大きく報道されました。サイバー攻撃者から「3日以内に連絡しなければデータを公開する」といった脅迫もあり、ランサムウェアに類する感染が推測されています。
同社は社内サーバーを全停止し、被害範囲を特定する対策を優先しました。しかし、その結果として取引先であるトヨタ自動車を含むグループ企業の生産ラインに必要な部品供給が一時的に止まり、全国14工場の28ラインが操業停止となりました。
1万3000台ほどの生産が見送られたとされ、サプライチェーンの単一企業が停止するだけでこれほどの打撃を与える例として注目を集めました。
参照元:トヨタの工場を止めたサイバー攻撃 サプライチェーン攻撃のリスクが露呈 | 日経クロステック(xTECH)
事例3:サーバー攻撃により工場の一時稼動停止
タイヤ大手のブリヂストン米子会社が2022年2月に受けたサイバー攻撃も、製造現場での生産を止めるに至った事例です。北米および中南米の複数工場がネットワークから切り離され、数日間稼働停止したと報じられました。
同社はシステムを遮断して被害拡大を防止し、最終的には復旧できたものの、感染発覚から稼働再開までに一定の期間を要しており、サプライチェーン上の混乱は避けられませんでした。
参照元:ブリヂストン米法人にサイバー攻撃か、北米・中南米の工場の稼働が一時停止
サプライチェーンリスクマネジメントのポイント
サプライチェーンリスクを完全に排除するのは難しいものの、以下のようなポイントが重要です
- 自社のセキュリティ対策の把握と適切な施策を実施する
- 関連企業のリスク評価を実施する
- サプライチェーン企業とセキュリティ契約を締結する
順に解説していきます。
自社のセキュリティ対策の把握と適切な施策を実施する
まず、自社の情報システムや管理プロセスの棚卸しを行い、弱点を洗い出します。
基本的なセキュリティ対策(ウイルス対策ソフト、ファイアウォール、パッチ適用など)に加え、社員教育やアクセス権限の見直しなどを行い、セキュリティの基盤を固めることが重要です。
関連企業のリスク評価を実施する
サプライヤーや外部委託先のセキュリティ対策レベルを調査し、必要に応じて改善を働きかけることが大切です。
情報管理ルールや監査手順を設け、定期的に監査を実施する企業もあります。リスクの高い企業との取引条件を見直すなど、実効性のある対策を検討しましょう。
サプライチェーン企業とセキュリティ契約を締結する
万が一トラブルが起きた際の対応フローや責任範囲、復旧手順などを、セキュリティ契約の形で定めると、情報共有や連携が素早くスムーズに進みます。
暗号化技術や多要素認証などの具体的対策を契約書に盛り込む企業も増えています。
まとめ
本記事では、サプライチェーンリスクの種類やサプライチェーン攻撃、サプライチェーンリスクの対策に向けたポイントなどを解説しました。
サプライチェーンは、複数の企業や拠点が連動してモノや情報を運ぶ構造のため、一部でトラブルが起きると影響が瞬く間に広がるリスクを抱えています。
自社のセキュリティ対策などを固めるのはもちろん、取引先や関連企業のセキュリティ評価や契約面での取り決めを行い、サプライチェーンリスクに適切に対応しましょう。
弊社では、サプライチェーンマネジメントを含む製造業のDXに関するご相談を承っております。また、製造業向けのDX入門ガイド資料もご用意しておりますので、情報収集にぜひお役立てください。
