サプライチェーン攻撃はなぜ防げない？企業が取るべき「レジリエンス戦略」

第1回では、ランサムウェア攻撃は「防げない」という前提の下、初動対応から復旧、さらには信頼回復まで含めたサイバー・レジリエンスの重要性を整理しました。しかし、そのレジリエンスは果たして自社だけで完結するのでしょうか。近年の被害事例を詳しくひも解いていくと、その答えは明らかです。「自社のセキュリティ対策は万全だ」と考えている企業ほど、実は見落としているリスクがあります。

• 

  サプライチェーンのどこか1社が侵害されれば、その影響は連鎖的に広がる　Photo:PIXTA

閉じる

なぜサプライチェーン経由の攻撃が急増しているのか？

なぜ、第三者（サードパーティ）を経由した間接侵入がこれほど増えているのでしょうか。その背景には、企業IT環境の構造的な変化があります。

クラウドやSaaSの普及、業務委託や外部パートナーとの連携拡大によって、企業のIT環境は急速に「境界」がぼやけてきました。かつては、前提とされていたネットワークの内側と外側という明確な区分は、もはや成立しなくなっています。

この結果、サードパーティを利用するリスクは、単なるセキュリティ担当者の懸念事項ではなく、経営リスクそのものとなっています。取引先や委託先で発生したシステム障害や情報漏えい、業務停止は、自社の事業継続やサービス提供、さらには企業としての信用にも直結します。たとえ自社に直接的な過失がなくても、社会や顧客からの評価は等しく影響を受けます。

また、サードパーティリスクはIT部門だけで把握・管理できるものではありません。調達部門、法務部門、事業部門など、複数の部署が関与する中で情報が分断されている場合、リスクはさらに可視化が難しくなります。例えば、事業部門主導で迅速に導入されたSaaSや、短期間で契約された外部委託先が、全社的なリスク評価の対象から漏れているケースも考えられます。

このような環境変化の中で、攻撃者は企業そのものではなく、より侵入しやすい経路を狙うようになっています。

なぜ企業は“直接攻撃されていないのに”被害に遭うのか？

近年発生したランサムウェア被害には、ある共通点があります。それは、攻撃の起点が必ずしも「本丸」である自社ではないという点です。

国内でも、大手通販サイトや大手酒類飲料メーカーの事例に見られるように、発端は委託先や関連会社のシステムでした。自社のセキュリティ対策が堅牢であっても、外部との接点を経由して侵入されるケースは後を絶ちません。

各種調査では、現在のサイバー攻撃の約8割が間接侵入であると指摘しています。この現実は、「自社の防御を強化すれば安全」という発想がすでに通用しなくなっていることを示しています。攻撃者にとって重要なのは標的企業そのものではなく、最も侵入しやすい経路です。その結果として、取引先や委託先が攻撃の入口になるケースが増えています。

このような間接侵入型の攻撃では、被害の全体像を把握するまでに時間を要する点も深刻です。侵害されたのが自社システムではなく取引先であった場合、「自社は本当に影響を受けているのか」「どこまで確認すべきか」といった判断自体に遅れが出がちです。その結果、初動対応が後手に回り、気付いた時には業務停止や情報漏えいが顕在化しているケースも少なくありません。これは第1回で述べた「最初の72時間」の重要性を、サプライチェーンの観点からさらに難しくしている要因と言えます。

さらに見落とされがちなのが、間接侵入による被害は「技術的インシデント」にとどまらず、取引停止や契約見直し、補償交渉といったビジネス上の問題へと波及しやすい点です。被害の責任範囲が不明確なまま議論が進めば、復旧後も長期にわたって事業活動に影響を及ぼす可能性があります。

サプライチェーン全体でレジリエンスを高めるためには、部門横断での情報共有と、経営レベルでの可視化が不可欠です。見えないリスクは対策の立てようがなく、結果として攻撃者にとって最大の好機となります。

サードパーティリスク管理はどう進める？5つの実践ポイント

こうした状況を踏まえると、サードパーティリスク管理は不可欠な取り組みです。ただし、形式的なチェックリストや一度きりの調査では実効性は期待できません。重要なのは、サードパーティリスク管理を単発の作業ではなく、段階的かつ継続的なプロセスとして設計することです。

（1）ベンダー選定段階でのセキュリティ評価

ベンダー選定段階で、セキュリティ体制や評価基準を明確にする必要があります。価格や機能だけでなく、インシデント対応体制、事故対応経験の有無、情報公開や説明責任に対する姿勢なども含めた総合的な判断が求められます。ここでの判断は、その後のリスク水準を左右する重要な意思決定になります。

（2）契約段階での責任範疇と対応プロセスの明確化

次に重要であるのが契約段階での整理です。インシデント発生時の責任範疇、報告義務、対応プロセスを事前に文書化しておかなければ、有事の際に判断が遅れ、被害が拡大するリスクが高まります。特に初動対応や情報開示に関する取り決めが曖昧な場合、企業間での認識のズレが生じ、混乱を招きやすくなります。

（3）継続的なモニタリングと再評価

欠かせないのがモニタリングです。取引先の体制や環境は時間とともに変化するため、定期的な再評価と情報共有を通じて、最新の状態を把握し続ける必要があります。

（4）取引先との関係を監査から協働へ

何より重要なのは、取引先を一方的に「監査・評価」する姿勢から、協働して全体の底上げを図る関係へと発想を転換することです。取引先との対話を通じて改善点を共有し、必要に応じて支援を行うことは、サプライチェーン全体のレジリエンス向上につながります。その積み重ねが、結果として自社を守ることにもつながります。

（5）リスクベース管理とKPIによる運用

取引先との協働を進める上では、「すべてを同一水準に引き上げる」ことを目指す必要はありません。重要なのは、事業への影響度や重要度に応じて、リスクにメリハリをつけることです。重要度の高い取引先には、より厳格な基準や緊密な連携を求める一方、影響度の低い領域では現実的な水準を設定します。このようなリスクベースの考え方こそが、継続可能で実効性のあるサードパーティリスクの管理を支えます。

加えて、こうした取り組みを実際の運用に落とし込むためには、共通の指標や定期的な演習が欠かせません。重要取引先の把握率や評価更新率、インシデント発生時の連絡到達時間など、可視化可能なKPIを設定することで、組織としての成熟度を測ることができます。また、演習や合同訓練を通じて、実際に有事が発生した際の連携や意思決定を検証しておくことは、サプライチェーン全体の対応力を高めるうえで有効です。

サプライチェーンで最も危険な“見えないリスク”とは何か？

サプライチェーン全体を俯瞰できなければ、防御には必ず盲点が生まれます。特に、ITやセキュリティの成熟度が異なる企業や組織が複雑に連なる環境では、その傾向が顕著です。

重要インフラ、行政、医療といった分野では、1社の侵害が社会全体に波及するリスクもあります。こうした分野は、もはや自社完結の対策では不十分であり、エコシステム全体でのレジリエンス構築が不可欠です。

サイバー攻撃が高度化・常態化する中で、企業単体で完結するセキュリティ対策には限界があります。サプライチェーン全体を一つのエコシステムとして捉え、どこにリスクが集中しているのか、どこを優先的に守るべきかを把握することが、これからのレジリエンス戦略の前提条件になります。

なぜ「信頼の連鎖」がこれからのセキュリティになるのか？

サイバーセキュリティは、「守る技術」から「信頼の連鎖を維持する仕組み」へと進化しています。自社の壁の内側だけを守る発想では、現実の脅威には対応できません。サプライチェーン全体で透明性を高め、情報を共有し、連携して備えること。それこそが、これからの防御線になります。

次回は、こうしたサプライチェーン全体のレジリエンスを、AIとデータ活用によってどのように高度化し、「予測する防御」へと進化させていくのかを考えていきます。