FineArt News

コラム

サプライチェーンの情報セキュリティについての考察

グローバリゼーションの進展とデジタル化の変革により、上流および下流の企業間で相互に多大な影響を及ぼす状況が形成されています。情報セキュリティに関して言えば、自社の対策が完璧であっても、関連する企業が情報セキュリティを適切に実施していなければ問題が発生します。

  • 企業の製品部品を供給するサプライヤーが情報セキュリティインシデントで機密情報を漏洩し、企業製品の競争力に影響を与える
  • アウトソーシングした会社の情報セキュリティインシデントにより、製品仕様が漏洩する
  • 顧客が情報セキュリティの問題を理由に、企業の情報セキュリティ対策の強化を要求する

これら企業を跨ぐ情報セキュリティ問題は、より複雑なサプライチェーンの情報セキュリティ問題を構成し、さらに多くの潜在的なセキュリティ脆弱性を生み出します。サプライチェーン内のどの箇所でも、資金・認識・監督の不足により情報セキュリティの合意を守れなかった場合、サプライチェーン全体の情報セキュリティ防衛線が機能しなくなる可能性があります。

サプライチェーンの情報セキュリティ保護

サプライチェーンの情報セキュリティ保護は、ほとんどの内部情報セキュリティ保護と同様で、外部攻撃と内部からの情報漏洩防止に大別されます。

  • 外部攻撃
    ランサムウェア攻撃・フィッシング・ウイルス・マルウェア・ファームウェア攻撃・DDoS・ハッキング攻撃などがあります。一般的にはファイアウォール・アンチウイルスソフトウェア・セキュリティソフトウェアを使用した防御や、企業のセキュリティ教育・重要データの定期バックアップなどで全体的な対外防御を形成できます。

  • 内部からの情報漏洩
    内部からの情報漏洩は比較的防ぎにくいです。ライバル企業による引き抜き・退職した従業員の独立または企業に不満を持つ従業員による悪意ある機密情報の窃盗などの原因があります。これらの情報は内部ネットワーク・スマートフォンのWi-FiやBluetooth、USBなどを通じて外部に流出する可能性があります。

一般的には、X-FORTなどのエンドポイント保護ソフトウェアを使用して、ユーザー活動を監視・制御することで、情報の外部流出を効果的に防ぎます。

サプライチェーンの情報セキュリティ監督は誰が担うのか?

  • 自己監督
    例えば、A社が部品の一部をB社に生産委託している場合、A社がその部品の機密保持を重視するなら、B社に情報セキュリティを強化するよう要求します。B社は独立した情報セキュリティシステムを導入し、情報セキュリティチームを設置して監視するなど対策をして、情報漏洩を防ぎます。また、A社はB社が情報セキュリティ対策を適切に実施しているかを確認する必要があります。

    同一サプライチェーンの企業は、互いに独立した会社であることが多いため、企業内で情報セキュリティシステムを構築して企業自身が監視することは一般的な方法です。

    ただし、情報セキュリティの保護レベルは、上流および下流の業者が受け入れられるレベルまで要求されます。このような体制で、サプライチェーン内の各企業は情報セキュリティ保護を適切に行い、協力してサプライチェーン全体の情報セキュリティを共同で維持することになります。

  • 共同監督
    サプライチェーン内に立場の強い企業が存在する場合、その企業はサプライチェーン内の他の企業に対して、情報セキュリティの監査をさらに強化することを要求するかもしれません。そのため、いくつかの重要な情報セキュリティチャネルは、共同で設備を監視できるように全員に開放されることがあります。

    このような共同監視モデルだと、B社は自社の情報セキュリティ対策を実施するだけでなく、外部協力企業であるA社の情報セキュリティチームも、B社の監査と不備の補完を支援し、上下のサプライチェーン間をより密接にしているので、人為的エラーも発生しにくくなります。

    B社にとって、A社の協同監視を受け入れることにより、派生問題が発生する可能性もあるので、できれば重要設備の監視エリアを物理的に隔離したほうが、大きなセキュリティリスクの発生を防ぐことができます。

サプライチェーン情報セキュリティの注意点

サプライチェーン情報セキュリティ問題の影響を受けやすい業界は、早期にサプライチェーン情報セキュリティ管理メカニズムを構築すべきです。

  • 企業内の情報セキュリティチーム設立
    まず、経営層の支持を得て企業の特性に合った情報セキュリティチームの組織を立ち上げて、関連する情報セキュリティソフトウェアを購入し、内部からの情報漏洩や外部からのハッキング攻撃に対して効果的な防御を行うべきです。

  • サプライチェーンの各メーカー間の横断的なコミュニケーションチャネルの確立
    サプライチェーンの情報セキュリティは1つの企業だけでなく、上流および下流のメーカーが共同で情報セキュリティリスクの評価と管理を行う必要があります。一番良いのは、各企業の情報セキュリティチームがサプライチェーンの共同情報セキュリティチームを形成し、共通の交流チャネルを持ち、サプライチェーン内で共通の情報セキュリティ基準や評価方法をルール化することです。また、協力企業が使用している情報セキュリティ設備や内部制御案も参考して、平時から情報セキュリティの新知識や問題を互いに共有するのも有効です。

  • 実施と監視のサイクル
    最も重要なのは、サプライチェーンの各メーカー間の問題を定期的に共有し、補完的な相互監視実施することです。共同情報セキュリティチームはできる限り相互にコミュニケーションを取り、各社の現状に合った方法で情報セキュリティポリシーを管理すべきです。

情報セキュリティポリシーを効果的に実施して継続的に監視し、問題が発生した場合は共同情報セキュリティチームを通じて報告し、問題の拡大を防ぎます。