全3648文字
(出所:日経クロステック)
サプライチェーンにサイバーセキュリティー意識向上を!
「サプライチェーンにおけるサイバーセキュリティー意識の啓発活動をお願いしたい」。このところ、そのような依頼が急増している。サプライチェーン関係者の中では、筆者はプログラミングができたり、ネットワークに詳しかったりするほうだ。ただ、最近の依頼急増の背景には、製造業で不正アクセス(ハッキング)によって生産が止まる事件が相次ぎ、企業の問題意識が高まってきたことがあるのだろう。
(写真:wwwebmeister/stock.adobe.com)
[画像のクリックで拡大表示]
不正アクセスによる生産停止は、世の中で知られている以上に多いと推測できる。そのような事態に直面しても、多くの企業は事実を公表しないだろうし、公表する積極的な理由がない。おそらく中小企業の場合は大企業よりも多いだろう。
一般的に、大企業であればあるほどセキュリティーはしっかりとしている。しかしながら、ティア1、ティア2とサプライヤーの階層が深くなるほどセキュリティーが穴だらけになる場合が多い。すると、深い階層に位置するサプライヤーから情報が漏れたり、生産が停止に追い込まれたりする。だから、サプライチェーン全体での対策が不可欠なのだ。
「企業には2通りあります。ハッキングされた企業と、ハッキングされたことに気づいていない企業です」。こうサイバーセキュリティーの専門家から聞かされた際には、うまいこと言うものだな、と感心した。しかし、感心している場合ではなかった。
有名な報告書として、2019年の大阪商工会議所によるものが知られる。タイトルは「平成30年度中小企業に対するサイバー攻撃実情調査(報告)」だ。この報告書は2重の意味で読む者に衝撃を与えた。
* 中小企業を狙ったサイバー攻撃の実態を調査・分析する実証事業<平成30年度実証>の実施報告について https://www.osaka.cci.or.jp/Chousa_Kenkyuu_Iken/press/190703cyber.pdfその1つ目は、大阪商工会議所がサンプルで選んだ中小企業の全てが不正アクセスを受けていたこと。2つ目は、中小企業の全てが気づいてさえいなかったことだ。まさに、「企業には2通りあります。ハッキングされた企業と、ハッキングされたことに気づいていない企業です」は真実だった。
“Business E-mail Compromise”(いわゆるBEC)と呼ばれる有名な問題がある。この問題によって被害を引き起こす手口は、大企業と中小企業のメールなどのやりとりを悪意のある第三者が盗み見し、得た情報によって中小企業をよそおうというもの。大企業に口座番号の変更、送金、機密情報の提供などを依頼する。このBECにおいては、大企業のセキュリティーがしっかりしていたとしても、相手の中小企業が穴だらけだと被害の発生を防ぎきれない。
ここであらためて強調したい。読者は大企業に勤めていたとしても、取引先の中小企業にセキュリティー意識を向上してもらわねばならない。サプライチェーン全体の問題なのだ。
高まる調達部門の存在価値
さて、筆者はサプライチェーン全体の問題と述べた。大企業には無数の取引先があり、その窓口としての役割を果たせるのは調達部門しかない。
これまで調達部門は、継続取引を行うサプライヤーのQCD(品質・コスト・納期)や与信情報を調査してきた。ただ、サイバーセキュリティーには疎かったと言わざるを得ない。その理由は、調達部門の多くが文系出身のメンバーで占められ、デジタル、IT/OT、サイバーセキュリティーといった内容を理解しようとしなかったからだ。
しかし調達部門が企業の取引窓口として責任を果たすのであれば、セキュリティーの問題は避けて通れない。具体的には、自社内のCSIRT(シーサート:情報システム部門などのセキュリティー担当組織)などと連携し、自社が取引先に求める情報管理レベルを決定し、サプライヤーを管理する必要がある。さらに具体的には、ISMS(ISO27001)認証の取得有無を確認する。また、セキュリティー上の問題があった際の瑕疵(かし)担保責任をどうするかを討議せねばならない。
考えてみれば当然なのだが、サプライヤーは強い要求がなければセキュリティーを強化しようとはしないものだ。しかし、いったん不正アクセスされたり情報漏洩したりすると大きな損失につながる。事前対策の意味でも、事件が起きた際の対応の意味でも、調達部門が取引先と対話を重ねることは欠かせない。
からの記事と詳細 ( ハッキングで工場が停止、サプライチェーンに見るアナログ的な ... - ITpro )
https://ift.tt/8EUADqg
No comments:
Post a Comment