製造業サプライチェーンに迫る「連鎖的サイバーリスク」：取引先からの侵害が過去最多水準に

サイバーセキュリティ評価企業のBlack Kite社による最新の報告書は、製造業のサプライチェーンが直面する新たな脅威を浮き彫りにしました。それは、自社ではなく取引先（サードパーティ）を起点とするサイバー攻撃が記録的なレベルに達し、サプライチェーン全体にリスクが連鎖的に波及する「カスケーディング・リスク」の深刻化です。

サプライチェーンの「最も弱い環」が狙われている
自社だけのセキュリティ対策では不十分な時代へ
求められるのは、サプライチェーン全体の状況把握と連携
日本の製造業への示唆

サプライチェーンの「最も弱い環」が狙われている

サイバー攻撃の手法は年々巧妙化しており、その矛先はセキュリティ対策が強固な大企業だけでなく、そのサプライチェーンを構成する取引先へと拡大しています。米国のサイバーセキュリティ企業Black Kite社が発表したレポートによると、製造業において取引先や業務委託先といった「サードパーティ」経由での情報漏洩やシステム侵害が、過去最高水準に達していることが明らかになりました。これは、攻撃者が意図的にセキュリティ対策が手薄になりがちな中小の取引先を足がかりとし、最終的な標的である大企業のネットワークへ侵入しようとする、サプライチェーン攻撃の典型的な手口です。

我々日本の製造業にとっても、これは対岸の火事ではありません。多層的な下請け構造や、長年の信頼関係に基づく取引が根付いている日本のサプライチェーンは、ひとたび一つの企業が侵害されれば、その影響がドミノ倒しのように関連企業全体へ広がる「カスケーディング・リスク（連鎖的リスク）」を内包していると言えるでしょう。

自社だけのセキュリティ対策では不十分な時代へ

これまで多くの工場や企業では、自社のネットワーク境界線を守る「境界型防御」がセキュリティ対策の主流でした。しかし、サプライチェーン全体がデジタルで緊密に結ばれる現代において、この考え方だけでは不十分です。例えば、部品メーカーの生産管理システムがランサムウェアに感染し停止すれば、たとえ自社のセキュリティが万全であっても、組立工場のラインは止まらざるを得ません。また、金型設計を委託している企業のサーバーから図面データが流出すれば、自社の重要機密が危険に晒されることになります。

つまり、サイバーセキュリティはもはやIT部門だけの課題ではなく、品質管理や納期管理と同様に、サプライチェーン全体で取り組むべき経営課題となっているのです。自社の対策を徹底することはもちろん、取引先のセキュリティレベルをどのように把握し、共に向上させていくかという視点が不可欠になっています。

求められるのは、サプライチェーン全体の状況把握と連携

この連鎖的なリスクに対応するためには、まず自社の製品やサービスが、どのような企業やシステムによって支えられているのか、サプライチェーン全体を正確に可視化することが第一歩となります。特に、重要部品の供給元や、機密情報を共有している委託先など、事業継続における重要度が高い取引先のリスク評価は急務と言えるでしょう。

その上で、取引先選定の基準にセキュリティ対策の項目を加えたり、既存の取引先に対しては定期的なセキュリティ監査や状況確認を求めたりするなど、より踏み込んだ連携が求められます。これは、一方的に要求を突きつけるのではなく、必要であればセキュリティ対策に関する情報提供や支援を行うなど、サプライチェーン全体でリスクに対応していくという協力的な姿勢が重要です。自社の安全は、取引先の安全なくしては成り立たないという認識を、経営層から現場までが共有する必要があります。

日本の製造業への示唆

今回の報告書が示す脅威を踏まえ、日本の製造業が実務レベルで取り組むべき点を以下に整理します。

1. サプライチェーンリスクの可視化と評価:
まずは、自社の主要な取引先（Tier1）だけでなく、その先の重要なサプライヤー（Tier2、Tier3）まで含めてリストアップし、どこに事業継続上のリスクが潜んでいるかを把握することから始めるべきです。特に、代替の利かない部品メーカーや、機密性の高い情報を扱う委託先については、優先的にリスク評価を行う必要があります。

2. 取引先とのコミュニケーション強化:
取引基本契約書などにセキュリティに関する条項を盛り込む форма だけでなく、実際に取引先の担当者と対話し、どのような対策を講じているかを確認することが重要です。必要に応じて、セキュリティチェックシートの提出を求めたり、共同でインシデント対応訓練を実施したりするなど、より実践的な連携体制を構築することが望まれます。

3. 経営層のリーダーシップ:
サイバーセキュリティ対策は、コストではなく事業継続のための投資であるという認識を経営層が持つことが不可欠です。サプライチェーン全体のセキュリティレベル向上を、調達部門や品質保証部門も巻き込んだ全社的な経営課題として位置づけ、必要な予算と人員を確保することが求められます。

4. インシデント発生時の対応計画（BCP）の見直し:
自社が攻撃された場合だけでなく、「主要な取引先がサイバー攻撃を受け、部品供給が停止した場合」といったシナリオを想定した事業継続計画（BCP）を策定・見直し、サプライチェーン全体での迅速な復旧プロセスを明確にしておくことが、被害を最小限に抑える鍵となります。