サプライチェーン管理におけるサプライヤー統制の難しさとその解決策

サプライチェーンセキュリティを取り巻く環境

近年、サイバー攻撃の高度化・増加に伴い、企業における対策の必要性も日々高まっています。財務的・人的リソースが豊富な大企業においては対策整備が進められているものの、中小企業などにおいてはリソースやセキュリティリスクへの認識の不足から、対策レベルが低い企業も少なくない状況です。

このような中、直接の攻撃が難しい大企業を最終的なターゲットに定め、対策レベルの低いサプライチェーン上の企業を起点に攻撃を仕掛ける「サプライチェーン攻撃」が増加しており、IPAが毎年公表している「情報セキュリティ10大脅威」では、「サプライチェーンの弱点を悪用した攻撃」が2022年から3年連続で3位以内に入っています。

実際に、サプライヤーへのサイバー攻撃を契機に、取引元企業の製造ラインが停止した事例や、サプライヤーである給食事業者を踏み台とした攻撃により、病院の診療機能に大きな支障が生じた事例など、事業に大きな影響を与えるサプライチェーン攻撃も発生しており、自社だけでなくサプライチェーン全体を管理し、セキュリティ水準を高めていくことが重要となっています。

サプライチェーン攻撃が増加する中で、国内外のガイドラインやサイバーセキュリティフレームワークに「サプライチェーン管理」の観点が盛り込まれ^※1・2、サプライチェーン強化に向けた「セキュリティ対策評価制度」^※3の構築も進むなど、制度・ガイドライン対応の観点からも、サプライチェーン管理の重要性は高まっているといえます。

サプライチェーン管理におけるサプライヤー統制の障壁

サプライチェーン管理の重要性が高まる中で各企業が取り組みを進めていますが、サプライヤーへ実効性のあるデジタル統制をかける上で、多くの企業が何らかの障壁に直面していることが明らかになっています（図表1）。

図表1：サプライヤーへのデジタル統制に関する課題

障壁①：多種多様なサプライヤーの存在

サプライチェーンは、大企業から中小・零細企業に至る多種多様な企業で構成されており、セキュリティレベルや保有するリソースにもばらつきがあります（図表2）。

図表2：サプライヤーごとに異なるセキュリティレベルとリソース

サプライチェーン管理にあたり全サプライヤーに対して一律に共通のチェックシートを用いる企業も多いですが、サプライヤーそれぞれで対応可能なレベルに差があり、個社ごとに「適切なレベルの対策要件」を設定することは容易ではありません。加えて、グローバルにサプライチェーンが広がる企業では、各国の規制や商習慣にも配慮が必要であり、より一層難しさが増すこととなります。

評価制度や業界ガイドラインなど、共通の評価指標は出てきているものの、事業内容やリスクを踏まえ最終的には自社としての基準設定が必要となるため、この難しさに悩まれる企業が多いのではないでしょうか。

障壁②：サプライヤーは、あくまで「外部の企業」である

関係がどれだけ深くとも、子会社でない限りサプライヤーはあくまで独立した企業であり、取引元企業にとっては「外部の存在」です。サプライヤーは、自社の事業におけるリスクやメリットを勘案の上、自社としての判断でセキュリティ対策を実施するのであり、取引元から対策を「強制」することはできず、「お願い」に留めざるを得ません。前提として、日本では下請法や独禁法により優越的地位の濫用が固く禁じられており、強制と取られかねない行為自体を避ける必要もあります。

また、外部の企業であるサプライヤーへ対策をお願いする際、大企業から中小・零細企業まで多様な規模のサプライヤーが存在する中でコスト負担をどこまで求められるのかという点も、実効的な統制を行う上での難しさとなっています。

障壁③：サプライヤーとの相互依存関係・日本独自の商習慣

取引元とサプライヤーは、必ずしも、上下関係にあり取引元が強いというわけではありません。他社と比較して安価に製品を提供する場合や他社にない独自の技術を持つ場合など、代替不可能な「何があっても手放せない」サプライヤーが存在する場合もあります。また、日本の商習慣上、長年の信頼関係によって取引元とサプライヤーの関係が成り立っている場合も多く、要求事項を守れないからといって、即座に契約を打ち切るような方法に踏み切れない事情もあるのではないでしょうか。

そうした状況において、求めるセキュリティ水準に達していなくとも取引を継続するしかなく、検討を重ねて準備した評価基準などのサプライヤー統制の取り組みが形骸化してしまうことも、多くの企業が悩まれるポイントであるように思われます。

企業が抱える障壁の解決に向けたアプローチ

こうした難しさがある中で、企業はどのようにサプライヤーへの実行的な統制を実現するべきでしょうか。3つの障壁ごとに、取り得るアプローチを整理します。

「障壁①多種多様なサプライヤーの存在」へのアプローチ
サプライヤーごとの影響度定量化と影響度に応じた要求レベル設定

取引元がサプライヤー統制を行う目的は、「サプライヤーへの攻撃を防ぎ、自社の事業に影響が及ばないようにする」ことにあります。そのため、全てのサプライヤーに対して一律に共通の基準を設定するのではなく、サプライヤーの自社事業への影響度を定量化し、影響度に応じた要求水準を設定する方法が有効となります。

取引物品（代替可能か）・取引量（生産に影響が及ばないか）・保有する情報の種類（機密情報が漏えいしないか）・ネットワーク接続有無（踏み台攻撃が発生しないか）・等の観点で測定することで、さまざまなリスクを念頭においた影響度の定量化を行うことが可能です。その上で、影響度が大きいほど高い成熟度を要求する・要求項目を増やす等により、影響度に応じた要求水準を設定していきます（図表3）。

図表3：影響度に応じた要求水準の設定

「障壁②サプライヤーは、あくまで『外部の企業』である」へのアプローチ
サプライヤー側への対策整備によるメリット提示

取引元がサプライヤーに対策を強制できない以上、サプライヤー側に能動的に対策整備を行ってもらう必要があります。そのためには、サプライヤー側にメリットがあることが重要となります。

具体的には、要求事項を提示するとともに「対策を充足している企業から優先的に取引を行う」と明示することで、サプライヤーにとって対策整備を行うメリットを感じてもらう方法が考えられます。その際、現在整備が進むセキュリティ対策評価制度などを踏まえ、セキュリティ対策を強化することが同社だけでなく他の企業との取引においても強みになることを訴求すると、サプライヤー側によりメリットを感じてもらえるようになるでしょう。

「障壁③サプライヤーとの相互依存関係・日本独自の商習慣」へのアプローチ
サプライヤーに対する伴走型支援の実施

相互依存関係が深いサプライヤーや長年の信頼関係があるサプライヤーに対しては、先述の通り、対策を促しづらい状況が想定されます。そのような場合、サプライヤー向けの勉強会の開催やサプライヤーも含めたインシデント対応訓練の実施、自社のセキュリティ組織への出向者受け入れなど、伴走的な形でサプライヤーを支援することで、セキュリティ対策の整備を促しつつ、最終的に自律的な対策整備が可能な水準まで引き上げることを目指す方法が有効になります。

こうした施策は、取引元であるサプライヤー単独ではリソース上取組み切れない部分もあるかと思われます。業種・業界内のTier1企業と連携し、持ち回りや合同でのサプライヤー勉強会・訓練の開催や相互の人材交流、外部のセキュリティ専門家へサプライヤーとのコミュニケーションも含めアウトソースする等の手段により、実現しやすくなります。

まとめ

サプライヤーの多様さやこれまで築いてきた相互依存的な関係など、サプライヤーへ実効的な統制を行う上での障壁が多く存在する一方で、攻撃者側がそのような難しい状況を逆手に取り、今後さらにサプライチェーン攻撃が拡大・高度化することも予想されます。自社だけでなく、業界内での協力や外部の専門家も活用しながら、自社のリスクやリソースに応じたサプライヤー統制を行うことが重要です。PwCコンサルティングでは、これらの障壁への知見を踏まえ、実効性の高いサプライヤー統制実現の支援を行っています。

詳細は、下記のウェブサイトをご覧ください。
https://www.pwc.com/jp/ja/services/digital-trust/cyber-security-consulting/sc-drm/sc-cs.html

注釈

^※1：経済産業省「サイバーセキュリティ経営ガイドラインv3.0」
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
^※2：米国国立標準技術研究所「NIST CSF v2.0（PwC翻訳版）」
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/assets/pdf/nist-csf.pdf
^※3：経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」
https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html