【ものづくり白書から読み解く⑥】サプライチェーンにおけるサイバーセキュリティの今

[執筆者]
DOORS編集部

IoTやAIなどといった最新のデジタル技術は、製造業のサプライチェーンにも変革=DXを起こす可能性を秘めています。受発注や生産管理などのプロセスにもデータが活用されることで、工場や機械の稼働率の平準化、物流の最適化などのメリットをもたらすと考えられるためです。

その一方で、活用されるデータの量と種類が増えればセキュリティリスクも増すことになります。製造業がDXを推進するうえで、サプライチェーンにおけるセキュリティ対策も求められるのです。

そこで今回は、経済産業省の資料からサプライチェーンにおけるサイバーセキュリティの現状と、今後の取り組みについての方向性をご紹介します。

【関連】DX(デジタル・トランスフォーメーション)の意味とは?ITが変える生活とビジネス

サプライチェーンDXとセキュリティリスク

サプライチェーンにおけるセキュリティリスクとは、何を意味するのでしょうか。その前提として、サプライチェーンのDXによって変わるものとそこに発生するセキュリティリスクについてご説明します。

サプライチェーンDXとは何を指すか

経済産業省の2020年版ものづくり白書では、製造業のサプライチェーンに対してDXがどのような可能性を秘めているのか記載されています。

サプライチェーンにデジタル技術を導入することで、以下のようなソリューションが可能となります。

・工場ごとの繁閑期の平準化などを可能とする「共同受注
・デジタル化により匠の技の継承を容易にする「技能継承」
・サプライチェーン連携などによる「物流最適化」
・顧客の使用データなどを分析することによる「販売予測」
・設備・機器の「予知保全」「遠隔保守」

さらには、研究開発から生産までの連鎖である「エンジニアリングチェーン」と「サプライチェーン」を連携させることで、生産の最適化や新たなビジネスの創出が容易になるとも言われています。

このように、製造業のサプライチェーンDXは大きな可能性を秘めていると考えられます。

【参考】経済産業省「ものづくり白書:第1部第1章第3節1.日本の製造業のデジタルトランスフォーメーションにおける課題」

サプライチェーンのセキュリティリスク

その一方で、サプライチェーンがサイバー攻撃の対象となるケースが増えています。2020年6月にまとめられた経済産業省の報告書では、以下が昨今のサイバー攻撃による被害の特徴として挙げられています。

・海外拠点や取引先など、サプライチェーンの中で相対的にセキュリティが弱い組織が攻撃の起点となり、そこを踏み台に侵入拡大が図られる事例が増加。

また、情報処理推進機構(IPA)の取りまとめた「情報セキュリティ10大脅威2021」では、「サプライチェーンの弱点を悪用した攻撃」が4位にランクインしています。

つまり、自社内だけでサイバーセキュリティ対策を手厚くすれば十分なのではなく、自社を取り巻くサプライチェーン全体に目配りして対策を検討・実施していくことが求められているわけです。サプライチェーンの中で、一点だけでもサイバーセキュリティの弱い部分があれば、そこを起点として大きな被害を受けるリスクを持っています。

【参考】経済産業省「昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性についての報告書を取りまとめました」
【参考】情報処理推進機構「情報セキュリティ10大脅威 2021」

政府の調査とガイドライン

政府は、比較的サイバーセキュリティ対策が弱いと推測される中小企業を対象として、2019年に中小企業におけるサイバー攻撃発生後の初動対応を支援する「サイバーセキュリティお助け隊実証事業」を実施しています。この事業を通じて、中小企業を狙ったサイバー攻撃の実態を調査しています。こちらの内容については、次の見出しで詳しくご紹介します。

こうした結果を受けて、経済産業省が情報処理推進機構(IPA)と作成した「サイバーセキュリティ経営ガイドライン」では、ビジネスパートナーや委託先などを含めたサプライチェーン全体の対策・状況把握が経営者の実施すべき項目として挙げられています。

DXによってクラウドを含めたさまざまなデジタル技術が一つの企業内に混在する中で、セキュリティリスクも複雑になり、かつ自社を超えて幅広い関係者にまで目配りする必要が生じているのです。

【参考】経済産業省・情報処理推進機構「サイバーセキュリティ経営ガイドラインVer 2.0」

サプライチェーンを狙い撃ちにしたサイバー攻撃の実態と被害内容

経済産業省の資料では、サプライチェーンを狙い撃ちにしたサイバー攻撃の内容が記載されています。その内容をご紹介するとともに、セキュリティ対策の方向性についてご説明します。

サプライチェーンの「弱点」が狙われる可能性

経済産業省の実証事業では、中小企業におけるインシデントの一つとして「サプライチェーン攻撃」も発覚しています。取引企業のメールサーバがハッキングを受けたことでメールアドレスが漏えいし、当該アドレスからマルウェア付きメールが送付されたという事例でした。

この企業では、経済産業省によってセキュリティ管理ソリューション機器を設置されていたため、実害を受けることはありませんでした。しかし、このメールによって機密情報の漏えいが発生した場合には、当然信用を失墜させる恐れがあります。この企業からさらなる取引先にまで損害が及んだ場合、取引相手を失うのはもちろん、損害賠償請求を受ける可能性すらあります。

政府もセキュリティ対策の必要性を強調

政府は、巧妙化するサイバー攻撃への対策を企業に促すため、「サイバーセキュリティ経営ガイドライン」を取りまとめています。ここでは、サイバーセキュリティが単なるITの課題ではなく経営の根幹に関わる課題であると位置づけ、経営者がリーダーシップを発揮して取り組むよう求めています。

サプライチェーン全体のセキュリティ管理についても、ガイドラインで取り上げられています。系列企業やビジネスパートナー、システム管理の運用委託先などを含めて、監査の実施や対策状況の把握を含むサイバーセキュリティ対策を運用すべきであると述べています。

対策の具体例として、サプライチェーンに関わる各種企業やパートナーと、サイバーセキュリティ対策を明確にしたうえで契約を結ぶ、定期的に対策内容の報告を受けるようにするなどが挙げられています。

産業界全体で対策へ。サプライチェーン・サイバーセキュリティ・コンソーシアムとは

サプライチェーン全体のサイバーセキュリティ対策が重要であるということは、一社のみならず業界全体で取り組む必要があることを示しています。2020年11月になって、サプライチェーン・サイバーセキュリティ・コンソーシアム(Supply Chain Cybersecurity Consortium: SC3)を産業界全体で立ち上げました。最後に、こちらの内容について見ていきましょう。

コンソーシアムの概要と目的

SC3は、主要経済団体のリーダーシップのもとで、多様な産業分野の団体が集まり設立されました。中小企業へサイバーセキュリティ対策の動機づけをするなど、サプライチェーン全体で対策強化に向けた検討や推進が行われる予定です。

SC3では、運営委員会の下にいくつかのワーキンググループ(WG)が設けられます。中小企業の対策強化について検討する「中小企業対策強化WG」をはじめ、各地域の取り組みを共有する「地域SECURITY形成促進WG」、産学官連携でサイバーセキュリティ分野の人材育成促進を図るための「産学官連携人材育成促進WG」などが案として取り上げられています。

中小企業を含めたセキュリティ対策へ

SC3のポイントは、あくまで大企業と中小企業の両方が参加していく点です。そのためにも、以下の3点を企業に対して促すことが基本的な行動指針とされています。

・共有:サプライチェーンを共有する企業間における、サイバー事案に関する高密度な情報共有の実施
・報告:機微技術情報の流出懸念がある場合の関係者への報告
・公表:情報漏えい等の被害が取引先等不特定多数の関係者に影響する恐れがある場合における関係者の影響緩和の取組促進のための公表の実施

2020年12月には第一回中小企業対策強化WGが開催されるなど、具体的な動きも始まっています。サイバーセキュリティやサイバー攻撃に対する経営者の注意を喚起し、実効性ある対策へつなげられるか注目されます。

【参考】経済産業省「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されます」
【参考】情報処理推進機構「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」

まとめ

サプライチェーンに対するサイバー攻撃は、製造業のみならず、さまざまな業界で見られるようになりました。これに対する対策は、個別企業レベルや業界レベルで実施しても不十分であり、サプライチェーンを構成する系列企業、パートナー企業、ベンダー、取引先など、多様な主体が連携して取り組む必要があります。

SC3の設立は、このような動きを加速させる政府の施策の一つです。まだ設立から日が浅く、その効果については今後の活動や調査を見ていく必要がありますが、加入することで「サイバーセキュリティ対策に力を入れている」という信頼獲得につながることも期待されます。自社だけでのサイバーセキュリティ対策に限界を感じる経営者および関係者は、こちらへの加入を検討してもよいのではないでしょうか。

【関連】DX時代に求められるサイバーセキュリティの体制構築&人材確保の方法とは?

【ものづくり白書から読み解くシリーズ

・【ものづくり白書から読み解く①】日本の製造業におけるDXの課題とは?「エンジニアリングチェーン」と「サプライチェーン」を実現するデータ活用
・【ものづくり白書から読み解く②】製造業DXで重要とされる「設計力」とは
・【ものづくり白書から読み解く③】製造業に及ぼす5Gの影響は?
・【ものづくり白書から読み解く④】製造業のDXを推進する人材とは?
・【ものづくり白書から読み解く⑤】ダイナミック・ケイパビリティとは?
・【ものづくり白書から読み解く⑥】サプライチェーンにおけるサイバーセキュリティの今

(参考)
経済産業省「昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性についての報告書を取りまとめました
経済産業省「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されます」
経済産業省「第1部 ものづくり基盤技術の現状と課題 第1章 我が国ものづくり産業が直面する課題と展望 第3節 製造業の企業変革力を強化するデジタルトランスフォーメーション(DX)の推進 1.日本の製造業のデジタルトランスフォーメーションにおける課題」
経済産業省・情報処理推進機構「サイバーセキュリティ経営ガイドラインVer 2.0」
情報処理推進機構「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」
情報処理推進機構「情報セキュリティ10大脅威 2021」

WRITER執筆者プロフィール

株式会社ブレインパッド

DOORS編集部

ブレインパッドのマーケティング本部が中心となり、主にDXにまつわるティップス記事を執筆。また、ビジネス総合誌で実績十分のライター、AI、ディープラーニングへの知見が深いライターなど、外部クリエイターの協力も得て、様々な記事を制作中。

MAIL MAGAZINEメールマガジン

イベントやセミナーの開催予定、
最新特集記事の情報をお届けいたします。

TREND人気ワード・タグ

BEST PRACTICEベストプラクティス

ブレインパッド社員が考えることから探す

業態・業種から探す

課題から探す

テクノロジーから探す

製品・サービスから探す

データ活用のプロが考える、エンジニアリング視点の記事や、新規ビジネスの創出に関する記事まで幅広い特集を配信!

業界の最先端をいく、100名を超える当社に在籍のAIおよびデータ活用スペシャリストが原稿を執筆!

ベストなDXへの入り口が見つかるメディア

DOORS

BrainPad

MAIL MAGAZINEメールマガジン

登録が完了しました。

メールマガジンのご登録ありがとうございます。
最新特集記事の情報をお届けしますので、
お楽しみにお待ちください。

MAIL MAGAZINEメールマガジン

登録エラーです。