サプライチェーン経由の攻撃が増加するなか、企業のセキュリティ担当者は新たな課題に直面している。どのようにサプライチェーンのセキュリティリスクを評価し、効果的なマネジメント手法を構築すべきだろうか。

9月17日~19日に開催されたオンラインセミナー「TECH+フォーラム セキュリティ2024 Sep.次なる時代の対応策」に、ENEOSホールディングス IT戦略部 サイバーセキュリティグループ 担当マネージャーの青木隆行氏が登壇。同社のサプライチェーンリスクマネジメントに関する取り組みについて紹介した。数万社に及ぶ取引先を抱える大規模企業は、いかにしてリスク評価と改善を実現したのだろうか。

日々重要性が高まる、サプライチェーン全体でのリスク管理

エネルギー、石油・天然ガス、金属、機能材料、電気・ガス、再生可能エネルギーなど、多岐にわたる事業を展開するENEOSグループ。特に、石油精製・販売を行うENEOSは、国内燃料油販売シェアの約50%を占める主要企業である。

青木氏は、ENEOSの大きな責務の1つとして「エネルギー・素材の安定供給」を挙げ、その実現のためにはサプライチェーン全体のセキュリティ確保が不可欠であると強調した。原油の調達から精製、製品化、配送、販売に至るまでの一連のプロセスのどこか1カ所でも停止すれば、エネルギー供給に影響が出るため、サプライチェーン全体のリスク管理が重要となる。

一方で、2022年以降、ウクライナ情勢の影響もあり、サイバー攻撃の脅威が日々高まっている。実際に国内メーカーなどもサイバー攻撃を受け、生産や出荷に影響が出る事例が発生している。事業に大きな影響は出ていないものの、ENEOSも例外ではなく、日々のサイバー攻撃に対処している状況だという。

また、政府の「重要インフラのサイバーセキュリティに係る行動計画」において、ENEOSは石油・ガス分野で指定されており、国からもサービスの安全かつ継続的な提供を期待されている。さらに、「経済安全保障推進法」の成立により、事業設備の導入・維持管理における委託先の審査が必要となるなど、サプライチェーン全体でのリスク管理の重要性が高まっている。

ENEOSは調達先セキュリティ調査の課題をどう解決したか

ENEOSでは、サプライヤーのセキュリティリスクを把握するためのアンケート調査を実施してきたが、その有効性に課題を抱えていた。

  • ENEOSが過去に実施していたセキュリティ調査の概要と課題

青木氏は、これらの課題を解決するために行った改善策について詳しく説明した。

1. 調査目的の明確化と対象サプライヤーの選定基準見直し

以前は、目的が不明瞭なままアンケート調査を実施してきたため、取り組み全体が曖昧なものになってしまっていたという。そこで、「エネルギー・素材の供給安定」という責務を果たすため、サプライヤーのセキュリティリスクを把握することを明確な目的として再設定。結果として、「対象となる会社の選定基準を自ずと見直すことができた」と青木氏は評価する。具体的には、従来の取引金額を基準とする考え方から、各取引部門が重要と判断する会社を選定する方式に変更した。

2. サプライヤーのセキュリティ調査項目の改善

経済産業省の「サイバーセキュリティ経営ガイドライン」と自社の「ITセキュリティ要領」に基づき、36項目のアンケートを作成。組織(体制)、組織(運用)、システム、業務影響度の4カテゴリに分類し、要求事項の理解度向上を図った。

3. アンケート結果の評価方法の見直し

従来のセキュリティ対策実施状況による一軸評価から、「セキュリティリスク」と「業務影響度」の2軸評価に変更。これにより、IT依存度の高い重要なサプライヤーを特定し、効果的な対応が可能となった。

  • アンケート結果の評価基準見直しの軸

4. フィードバック方法の改善

従来の一方的な改善依頼から、サプライヤーとともに学ぶ勉強会の開催へ転換。外部セキュリティ専門家を招き、最新動向や対策についてレクチャーを実施した。

これらの取り組みの結果、2022年度から2023年度にかけて、リスクの高いサプライヤーの割合が大幅に減少し、全体的な改善傾向が見られたという。

サプライチェーンリスク管理に重要な3つのポイントとは

青木氏は、サプライチェーンリスク管理において重要と考える3つのポイントを挙げた。

1. 守りたいものの明確化

安定供給、企業秘密、個人情報など、企業によって守るべき対象は異なるため、自社にとって最も重要なものを特定することが重要となる。同氏は「これが明確でなければ、具体的な活動内容がぶれてしまう」と強調する。

2. 重要なサプライヤーの特定

ENEOSの場合、年間数万社との取引があるため、全ての企業に同レベルの対応は困難だ。そこで、重要度の高いサプライヤーを特定し、リソースを集中させることが効果的である。

3. サプライチェーン全体の底上げ

サプライチェーンリスクは、1社だけでは完結しない問題であり、サプライチェーン全体でセキュリティ意識を高める必要がある。そのためには、草の根的なアプローチで、サプライヤーとの「仲間意識」を醸成することが重要となる。

海外拠点への展開、自己評価の限界、調査の負担増——残された課題

ENEOSのサプライチェーンリスク管理には、まだ多くの課題が残されていると青木氏は言う。

まずは、海外サプライチェーンへの適用だ。現状の取り組みは国内サプライヤーが中心となっており、海外拠点への展開では、アンケート回答率の低さや現状把握の困難さなど、新たな課題が浮上する。

次に、自己評価の限界だ。現在のアンケート調査は各サプライヤーによる自己評価形式のため、実態を正確に反映していない可能性がある。

そして、3つ目が、セキュリティ調査強化による負担増だ。調査範囲や項目の拡大は、社内外の関係者に大きな負担をかける可能性がある。そのため、効率的かつ有効な調査方法の模索が必要となる。

これらの課題に対する1つの解決策として青木氏は、「セキュリティスコアリングサービスの活用を検討している」と述べた。外部の知見を取り入れることで、より客観的かつ効果的な評価が可能になると期待されている。

ENEOSのサプライチェーンリスクマネジメントの取り組みは、エネルギー産業全体の課題解決にもつながる重要な施策である。青木氏は、今後もエネルギーや素材の安定供給に向けて、セキュリティ面での対応を継続していく意向を示した。