サプライチェーン・デジタルリスク実態調査:サプライチェーンを脅かすデジタルリスクに企業はどう立ち向かうべきか
サイバー攻撃の増加により、企業はサプライチェーン全体のセキュリティ対策を強化する必要に迫られています。本稿では、サプライチェーンのデジタルリスクとその対策について、経営層80名、セキュリティ部門200名を対象とした実態調査結果をもとに解説します。
セキュリティレーティングサービスとは
近年、サイバー攻撃の高度化・増加により、企業における対策の必要性が増しています。
対策レベルの低いサプライチェーン上の企業を起点とし、最終的にターゲットとする企業の機密情報窃取やビジネス停止を狙うサイバー攻撃も増加しています。IPAが毎年公表している「情報セキュリティ10大脅威」では「サプライチェーンの弱点を悪用した攻撃」が2022年から3年連続で3位以内に入っています。
さらにDXの加速やサプライチェーンの多様化・複雑化が進んでいることから、サプライチェーン上のセキュリティリスク管理は、より一層難しくなることが予想されます。
サプライチェーン上のセキュリティリスクを把握し管理するため、「チェックシートを用いた対策状況の確認」を運用している組織も多くありますが、実際にはチェック結果の品質不足(回答の信憑性に不安がある、タイムリーなリスクの変化が捉えられない、など)や、自社内の工数や対象となる企業数が多くうまく機能しないといった課題を抱えています。
このような状況において、注目を集めているのが「セキュリティレーティングサービス」です。セキュリティレーティングサービスとは、外部から確認可能なセキュリティ関連情報(公開ウェブサイト情報、ネットワーク情報、ダークウェブ上の情報など)を基に、攻撃者と同じ目線で企業のセキュリティリスクを評価するサービスで、従来の人手でのチェックとは異なる以下のような特徴があります。
- 自社のみならず、他社の企業のセキュリティリスクを自動で評価できる
- 外部公開情報を基に評価することから、評価結果の品質にバラつきが生じにくい
- 脅威情報の変化、対策状況の変化に合わせ、リスクの変化をタイムリーに反映できる
セキュリティレーティングサービスは、セキュリティサービス市場の中で最も成長が期待されているサービスの一つで、日本国内の市場規模は2021年度から2027年度までの間に4倍に拡大すると予想されています(*1)。PwCが2024年に実施したアンケートでは43%の企業でリスクレーティングサービスが利用され始めていることも明らかになり、今後ますます有効な利活用が進むとの期待が高まっています(図表1)。
図表1:企業におけるデジタルサプライチェーン上のリスク可視化方法
セキュリティレーティングサービス活用の勘所
セキュリティレーティングサービスは、タイムリーかつ客観的、人手によらない自動評価という多くのメリットがある一方で、下記にあげる難所を理解した上で、適切に使いこなすことが重要となります。
①活用にあたっての難所
1.公開範囲によっては評価も限定的になる
一般的にIPアドレスやドメイン情報を基に評価することから、子会社と親会社が同じドメインを利用していると、セキュリティレーティングサービスを実施する際に判別が難しいといったことなどから、公開システムや公開ウェブ・ドメインの有無や関係によって、当該サービスによる評価結果が限定的になったり、詳細な結果が得られなかったりする可能性があります。
2.評価が困難な領域が存在する
客観的に評価可能なサービスであるものの、公開情報より評価を行うことから、その企業における統制状況や体制の規模感、業務や規定の整備状況、人員の持つ知見・対応レベルといった内部的な面の評価は困難といった点を理解しておく必要があります。
3.評価結果を読み解くために専門的なスキルが必要
セキュリティレーティングサービスは、それぞれのサービスごとに独自の算出ロジックによって、企業の危険度レベルなどを分かりやすく評価します。一方で、算出ロジックの一部として公開されるシステムの脆弱性など技術的な側面を取り扱うことから、評価結果の詳細を理解するには、一定のセキュリティ知見を有していることが求められます。
②活用にあたってのポイント
従来のチェックシートによる委託先評価では、セルフチェックによることから客観性に欠ける部分や、人手による作業で工数がかかるといった側面がありました。それらの課題に対してセキュリティレーティングサービスは効果的である一方で、うまく機能させるためにはポイントを押さえておく必要があります。全ての委託先に対して内部の評価結果まで詳細に得られるわけではないため、ツールによって評価する委託先の整理や、従来のチェックシートと当該サービスとの棲み分けをした上で、誰がどう評価するかといったことをユースケース別に区分したり、効果の高い活用方法を検討したりすることが重要となります。
③企業での活用事例
先進企業では、前述したセキュリティレーティングサービスの特性を踏まえ、活用に向けた取り組みを進めています。
クリティカルな問題を持つ取引先のスクリーニングとして活用
さまざまな事業を展開している企業では、企業の取引先数は多い場合で数万を超えます。これらの企業では数万ある取引先の中で、できるだけ工数をかけずに、クリティカルな問題を持つ企業を特定したいという課題を抱えています。そこで、生産影響のある企業に対象を絞る(1次スクリーニング)、レーティングサービスで一定の閾値以下の企業に絞る(2次スクリーニング)、そこからさらに取引先チェックシートにて詳細を点検する(3次スクリーニング)という運用を構築し、膨大なセキュリティ評価業務の簡略化に成功している事例があります。
レーティングサービスは決して万能ではありませんが、適用する範囲とそれに期待する目的を明確にすることで、よりスピーディーで効果的に取引先のセキュリティレベルを向上させることが期待できます。
PwCのセキュリティレーティングサービス活用支援
PwCコンサルティングでは、以下のような課題例に対して、レーティングサービスの活用構想や製品比較、運用プロセスの整備などを支援します。
取引先評価の運用効率化・自動化に向けた課題例
- 取引先の評価を表計算ソフトで管理しているが管理部門の業務負荷が高まっている
- レーティングサービスを導入したものの評価基準や是正措置が曖昧となっている
注釈
*1 経済産業省,2023年.「令和4年度サプライチェーン・サイバーセキュリティ対策促進事業(国内セキュリティ関連市場における製品・サービス提供者及び機器検証事業者に関する実態調査)」https://www.meti.go.jp/meti_lib/report/2022FY/000523.pdf
サプライチェーンセキュリティのトレンドと企業の在り方
インサイト/ニュース
40 results
Loading...
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応【第4回】ガイドライン及びQ&Aの公表
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
米国の船舶および港湾のサイバーセキュリティ法規制最新動向
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
Loading...
