サプライチェーン技術の進歩がセキュリティの懸念につながる

人工知能（AI）、ビッグデータ、アナリティクス、ブロックチェーンなど、さまざまなテクノロジーがサプライチェーンの仕組みを劇的に変えようとしています。かつてないほど迅速かつ正確で、予測性に優れています。全て順調です。本当にそうでしょうか？こうした進歩には、少なくとも1つの大きな落とし穴があります。それは、サイバーセキュリティリスクの増大です。つながったサプライチェーンは、複数の企業にまたがる可能性があるため、熟練したサイバー犯罪者にとって攻撃ベクトルが増え、報酬ももっと多くなることを意味します。そのため、サプライチェーンは格好の標的になります。

サイバー攻撃は避けられない

サプライチェーンのサイバー攻撃がますます一般的になるにつれ、企業は攻撃を防ぐことだけに注力するのではなく、攻撃を想定し、対応策を計画しておく必要があります。つまり、サイバー攻撃は「もし起こったら」ではなく「いつ起こるか」の問題なのです。

Gartnerは、2022年に実施した『複雑化するサプライチェーンにおける繁栄に関する調査』¹において、調査対象者の31%が、過去2年間のある時点で、サプライチェーン業務に影響を及ぼすサイバー攻撃を経験したと報告していることを明らかにしました。市場調査会社は、この数字が2025年までに45%増加すると予測しています。² 人的ミスは依然として一般的な攻撃ベクトルですが、フィッシング詐欺メールから感染したUSBメモリを拾って差し込むように仕向けるものまで、ランサムウェアやその他の恐喝に関連する脅威も増加しており、Verizonの『2024年データ侵害調査報告書（DBIR）』³（図1）によると、昨年比で180%増となっています

図1：人間が最も脆弱なアクセスポイントであることに変わりはなく、ランサムウェアや恐喝がますます一般的になっています。（画像提供： Verizon DBIR）

この種の侵害は、時間的と費用面で大きな負担となります。Ponemon Instituteが発表した『2023年内部犯行によるリスクのコストに関するグローバルレポート』⁴ によると、業界別のセキュリティ侵害の平均コストは1組織あたり1,620万ドルに上り、インシデントの封じ込めまでの期間は中央値で86日となっています。4年前の統計では、1,540万ドル、85日でした。これらの統計では、組織のブランドに与えるコストは考慮されていません。

サイバー攻撃は定期的にニュースの見出しを飾っており、ハイテクおよび製造業は重要な標的となっています。昨年、サイバー犯罪者に最も狙われたのは製造業でした（図2）。最近のテクノロジーの発展により、サイバーセキュリティは今や企業の成功に欠かせないものとなっています。このことに気づいた企業は、サイバーセキュリティへの投資を徐々に増やしています。2025年には、世界全体の予算は総額2120億ドルに達すると予想されており、2024年から15.1%の増加となります。⁵

図2：昨年、サイバー犯罪者に最も狙われたのは製造業でした。（画像提供：Statistica）

セキュリティのベストプラクティス

この活気に満ちた変化する環境において、調達部門は、社内従業員、顧客、サプライチェーン全体のベンダーを含めた形でサイバーセキュリティ対策を優先しなければなりません。組織内では、サイバーセキュリティを常に最重要視し、定期的なリスク評価の際に考慮しなければなりません。サイバーに対する意識を高め、サイバーセキュリティの回復力に投資することが不可欠です。ベストプラクティスには以下のようなものがあります。

• データの暗号化： AES（Advanced Encryption Standard）を使用して、すべてのデータタイプを暗号化します。米国政府は機密情報を保護するために、この対称型ブロック暗号を選びました。
• 従業員の認証情報およびアクセスの保護：人間は誤りを犯しやすいので、トレーニングを実施し、定期的に注意を喚起します。企業の第一防衛ラインであるスタッフは、フィッシングメールや不審なリンクを発見し、ログイン情報を保護できなければなりません。
• 現実を想定したトレーニング：サイバー攻撃が企業やそのパートナーにどのような影響を与えたかという情報とともに、実際のシナリオを従業員に認識させます。新しい攻撃に関する最新情報を定期的に提供します。
• 侵入テストを受ける：専門家に依頼して脆弱性をスキャンし、悪用される前に対処します。脆弱なパスワードを更新し、データベース、エンドポイント、ネットワークを保護します。
• 問題に備える：展開可能な是正措置を盛り込んだ、わかりやすく実行可能なインシデント対応計画を作成し、維持します。定期的にテストを実施します。

パートナーへの道

社内のサイバーセキュリティを優先させることと同様に重要なのは、ティア1以下のパートナーの情報セキュリティ戦略を確実に実行することです。情報セキュリティチェックリストを作成し、パートナーが遵守していることを確認します。また、このような優良事例をサプライチェーンの奥深くまで浸透させるよう、働きかけてください。CSA Cloud Controls Matrix は、クラウドセキュリティとコンプライアンスの重要な側面をカバーする17のドメインに197の管理目標を提供しています。⁶ パートナーが脆弱であれば、攻撃のベクトルとなり、悪意ある行為者を組織に侵入させる可能性があります。

セキュリティーはリープフロッグゲームのようなものです。善良な人々がシステムやデータを保護する新しい方法を編み出すとすぐに、悪質な人たちはそこに侵入する方法を考え出します。高度なテクノロジーの利用が進むなか、安全な状態を維持するためには、用心深さとベストプラクティスの遵守が欠かせません。

リファレンス

1:https://www.scmr.com/article/tackling_hidden_risks_in_the_supply_chain_insights_for_procurement_leaders - :~:text=According to Gartner’s 2022 Thriving Amid Heightened Complexities Supply Chain Survey, 31%25

2:https://aratum.com/perspective/emerging-threats-in-supply-chain-cybersecurity-in-2024/#:~:text=The%20Most%20Compelling%20Cybersecurity%20Stats%20of%202022%20%7C%20Alert%20Logic

3： https://www.verizon.com/business/resources/reports/dbir/

4:https://ponemonsullivanreport.com/2023/10/cost-of-insider-risks-global-report-2023/

5:https://www.gartner.com/en/newsroom/press-releases/2024-08-28-gartner-forecasts-global-information-security-spending-to-grow-15-percent-in-2025

6:https://cloudsecurityalliance.org/research/cloud-controls-matrix