企業のセキュリティ担当者が押さえておくべき「サプライチェーンリスク」とは？具体的なリスクと対策を解説！

所属企業をさまざまなセキュリティ脅威から守るため「企業のセキュリティ担当者」は日々変化するセキュリティ関連のトピックに目を通して、知識をアップデートする必要があります。

 

今回の記事では、セキュリティ担当者が押さえておきたい「サプライチェーンリスク」に焦点を当てて、具体的なリスクと対策を解説しますので、ぜひ参考にしてみて下さい。

 

サプライチェーンとは何か？

サプライチェーンとは、商品の企画・開発から、原材料や部品などの調達・生産・在庫管理・配送・販売・消費までのプロセス全体を指しており、商品が最終消費者に届くまでの「供給の連鎖」のことです。

 

サプライチェーンを構築する企業間の関係は、以下の2通りに分かれます。

 

■垂直的な関係

サプライチェーンの上流から下流の関係を指します。

具体例として、部品を供給するサプライヤーと最終製品を扱う企業の関係のことです。

 

■水平的な関係

同業の企業間における関係を指します。

製品・技術を共同開発したり、他社に生産を委託したりする関係のことです。

 

近年は、経済活動そのものがグローバル化していることに伴って、国境を超えたサプライチェーンが構築され、複雑化しています。

 

サプライチェーンリスクとは？

ここまで仕事をしていると耳にすることが多い「サプライチェーン」について詳細に解説しました。

次に、「サプライチェーンリスク」の概要と代表的なリスクを紹介します。

 

ひとことで「他社が自社に影響を及ぼす可能性」のこと

サプライチェーンリスクとは、自社製品の流通に関する一部の他事業者で業務が滞ることによって、自社の供給の流れが止まってしまうリスクのことです。現在のビジネスでは、原料や部品の調達から、製品製造・輸送・販売に至るまで、エンドユーザーの手に商品が渡るまでに多数の事業者が関与します。

 

代表的なサプライチェーンリスク

サプライチェーンで生じうるリスクとして主に以下3種類があります。

・内部不正

・操作ミス

・不正アクセス

それぞれについて詳細に見ていきましょう。

 

内部不正

具体例として、システム保守管理を委託されたエンジニアが複数回に渡って顧客情報を持ち出し、名簿業者に売却したことなどがあります。内部不正の被害を受けた企業は補償対応のために特別損失を計上する必要があり、企業イメージの失墜にも繋がってしまうのです。

 

操作ミス

具体例を挙げると「メールの宛先指定間違いのため機密情報が流出した」「社外秘の情報を公開してしまった」「機密データが入った端末を紛失してしまった」などが挙げられます。このような操作ミスはチェック体制さえしっかりしていれば防げるものであるため、企業の管理体制に対して強い疑念を持たれるきっかけになるでしょう。

 

不正アクセス

具体例を挙げると「マルウェアなどの攻撃」がこれに当たります。

サイバー攻撃を行う側は、企業同士が繋がっているネットワークの中でセキュリティレベルが低いサプライヤーから狙うのが常套手段です。それを踏み台にした上で本命企業へのネットワークへの侵入を試みるため注意しましょう。

 

サプライチェーンリスクの具体例

ここまで、サプライチェーンリスクの中で代表的なものをピックアップして紹介してきました。

次に、過去に発生した例を引き合いにサプライチェーンリスクについて解説します。

 

自然災害

2016年4月に発生した熊本地震によって、多くの生産拠点が操業停止となりました。

数多くある拠点の中で「デジタルカメラ」「監視カメラ向け画像センサー」を製造しているソニー熊本工場は、壁の崩落・天井の搬送装置落下などで、大きな被害を受けたのです。

 

パンデミック

2019年末から発生した新型コロナウイルス感染症の拡大によって、多くの企業で「製造ライン停止」「物流遅延」「店舗閉鎖」「急激な需要変化」などが発生しました。

 

サイバー攻撃

2021年に、富士通が開発した「ProjectWEB」というプロジェクト情報を共有するソフトがサイバー攻撃に遭いました。同ソフトは官公庁・企業などで幅広く利用されており、以下のような情報が流出しました。

・成田国際空港株式会社:成田国際空港の運行情報管理システムに関係する情報

・国土交通省:省の職員や業務でやり取りのある関係者少なくとも7万6000件のメールアドレス

・内閣官房:サイバーセキュリティセンターのシステム機器に関するデータ

このような、サプライチェーンの中で「不正アクセスしやすいソフト」という弱点を狙って、ゆくゆくは関連するプレーヤーから金品を搾取しようとする犯罪が起こっています。

 

紛争・政治的不安

現在発生している「ロシア・ウクライナ紛争」では、以下のような多様なリスクをもたらしています。

・原材料不足(現地企業操業停止によって原材料供給が停滞)

・製造/販売制限(現地工場や店舗の操業停止)

・物流の制限(ロシアの報復措置によって、空の運行便に大きな制約)

・エネルギーの高騰(ロシアの報復措置によって価格が高騰)

 

サプライチェーンリスクを軽減する具体的な3つの対策とは？

最後に、サプライチェーンリスクの軽減に向けた具体的な3つの対策を紹介します。

 

対策(1):BCP(事業計画書)の策定

BCPとは「事業継続計画」のことであり、災害・事故などの企業におけるリスク発生時に「どのように被害を最小限に抑えて事業継続や早期復旧を図るか」の計画を記したマニュアルです。

BCPを策定することで、万が一の事態が発生した場合にも冷静に対処でき、被害を最小限に留めるだけでなく、速やかな復旧に繋げやすくなります。

 

対策(2):調達先や拠点の分散化・多様化

自然災害発生によって特定地域からの供給がなくなったとしても対応できるよう、代替品・原材料などの調達先を複数確保することが重要です。国外にサプライチェーンを有する場合は、特定の国に依存しないことでリスク分散ができます。

 

対策(3):サプライヤーとの連携強化

取引先やサプライチェーンを一元管理して、「リスクの見える化」を行うことが重要です。

サプライヤーとの連携を強化し情報収集を充実させて、類似商品の製造が可能なサプライヤーを調査することが求められます。

 

サプライチェーンのセキュリティを強化して、「企業利益の損失」を防ごう！

この記事では、「サプライチェーン」「サプライチェーンリスク」の概要から、具体的なリスクと対策を紹介しました。

企業活動と密接に関わる「サプライチェーン」を把握して、「リスク分散」「セキュリティ強化」を行うことが求められるため、知識としてぜひ抑えておきましょう。