サプライチェーンが標的となる時代、
BCP策定が急務に

サプライチェーンとは、製造業でいえば原材料調達、製造、配送、管理、販売といった、商品の源流から消費者のもとへ届くまでのプロセスです。さらに商品が消費者のもとへ届ける在庫管理を行う倉庫業者、配送などを担う運送業者など、さまざまな協力会社や関係者が含まれます。あるいは自動車業界の場合、自動車メーカーを頂点として、自動車メーカーに直接部品を供給するティア1サプライヤー、ティア1に部品を供給するティア2サプライヤー、さらにティア2に部品供給を行う下請けメーカーなどにより、多くのプレイヤーが関わるピラミッド構造となっています。

サプライチェーンの弱点を悪用した攻撃は、セキュリティ対策の強固な企業を直接攻撃するのではなく、セキュリティ対策が甘い取引先などを標的にします。そこを踏み台として被害がサプライチェーン全体に及ぶリスクがあるため、被害が取引先、顧客などに及ぶ前に充分な対策を講じておく必要があります。とくに大手企業のサプライチェーンの一員である場合、BCPの未策定がグループ全体に重大な影響を与えてしまう可能性があるため、自社のみならず、さらに下請けの取引先を含めた取り組みが必要です。

オールハザード型BCP策定の必要性

昨今のBCP策定率はどのように変化しているのでしょうか。東京商工会議所の調べによると、BCP 策定率は 前回の32.2％から35.0%と緩やかに増加しています。一方で、その内訳を見ると大企業の71.4％に対し、中小企業は 27.6％にとどまっています。さらに策定済み企業の9割超が「地震」への対策を想定しており、「感染症」や「水害」を含む対策は約6割、これらに加え「サイバー攻撃」や「テロ」といったあらゆる災害・リスクに対応できるオールハザード型を想定している企業は、わずか1割程度にとどまっているという調査結果が出ています。オールハザード型BCPとは、個別の災害や特定のリスクといった非常事態発生の「原因」ではなく、「結果」として生じる要員の不足、停電、機器の故障、工場全体の操業停止、輸出入制限や取引先の被災による部品調達不足などの「経営資源の毀損」に着目して考察するBCPのことです。

多くの場合、BCP対策は自然災害に対する防災の備えととらえられがちですが、本来の目的は地震、台風、集中豪雨などの自然災害をはじめとした万一の事態が発生した際に事業を早期復旧し、継続することにあります。自然災害に加えて感染症、人為的なサイバー攻撃、テロ、さらには機密情報の漏えい、取引先の倒産などを含むあらゆる災害・リスクを想定したオールハザード型で策定しておくのが理想的です。

たとえば、サイバー攻撃にフォーカスしてみると、年々、企業を狙う攻撃の手口は高度化、多様化しており、最悪のケースでは被害が自社にとどまらず、取引先や顧客にまで拡大するリスクがあります。IPAが調査して「情報セキュリティ10大脅威2024」では、「ランサムウェアによる被害」に次いで「サプライチェーンの弱点を悪用した攻撃」がランクインしています。

サプライチェーン攻撃に備える
BCP策定4つのポイント

一般的にBCPを策定する具体的な手順は大きく4つのステップに分けられます。まず、企業や団体が目指す経営理念や基本方針を振り返り、原点に立ち返った【①策定の目的設定】です。続いて、企業や団体の経営の中核となる業務を、そこに潜むリスクを明らかにする【②重要な業務とリスクの洗い出し】。サプライチェーンを意識する上では特にここが重要なポイントになります。たとえば、製造業の場合であれば物資の仕入れルートを確保、遅延なく納品先に供給し続けるサプライチェーンの堅守が優先すべき事業になり、そこに影響を及ぼす自然災害、感染症、事件・事故、システム障害、サイバー攻撃などのリスクを洗い出します。次のステップでは、緊急時の限られたリソースを効果的に投入するための【③リスクの優先順位づけ】です。そして最後のステップが【④実現可能な具体策を決める】です。災害発生から平常時に戻るまでのタイムスパンを大きく3段階に分け、「人的リソース」「施設・設備」「資金調達」「体制・指示系統」「情報」の5つの視点で細かい内容を決めていきます。
※参照元：中小企業庁「中小企業BCP策定運用指針」

委託先とのBCP対策を連携させるポイント

ここでサプライチェーンを見据えたBPCの必要性がわかる事例をいくつか紹介します。全国に工場を持つ大手自動車メーカーでは東日本大震災でサプライチェーンが寸断、東日本の一部の被災でグローバルの生産車両の8割に影響が出たといいます。あるいは大手乳業メーカーでは北海道地震で自家発電設備のない拠点で廃棄処分が発生。牛乳の買い取り停止、停電や断水により牧場などの生産者も大打撃を受けたといいます。

サプライチェーン攻撃に備えるBCP策定のカギは、サプライチェーンのセキュリティリスクを意識し、的確な対策を講じることです。サプライチェーン攻撃、サプライチェーンに被害を及ぼすヒューマンエラーのリスクを洗い出し、必要に応じてセキュリティレベルを高める施策を進めていく必要があります。まずは自社のセキュリティ対策を徹底することです。脆弱性を狙った攻撃を避けるためにOS、ソフトウェアを最新版にアップデートすることに加え、ウイルス対策ソフトの導入、パスワードやIDの設定、管理の見直しなどを行います。

続いて委託先との連携の強化です。自社を含めサプライチェーン全体で依存度が高い仕入先や拠点、あるいは機能を列挙し、各署が機能不全に陥った場合の被害の範囲、程度を具体的に想定します。依存度が高く、被害が広範囲に及ぶ弱点に対しては、仕入れ先の分散や代替手段による生産ラインの維持、他拠点や同業他社への機能移管などの代替手段、リスクヘッジを講じておく必要があります。さらに継続する事業の優先順位付けなどの方針を決めておくことも重要です。その上でサプライチェーン全体のセキュリティリスクを軽減するために、自社と同水準のBCP策定、とくにセキュリティ対策の実施を呼びかけます。委託先の対策の徹底には呼びかけのみならず、BCP策定の情報共有や支援も適宜行うことも必要です。さらに、既存の委託先のみならず、新たに業務を委託する企業を選ぶ際にもセキュリティ対策への取り組みを検討する必要があります。

BCP対策には自然災害、サイバー攻撃などの緊急事態である、ビジネスにとってマイナス要因をリカバーする役割だけでなく、プラスのメリットもあります。働き方改革や、DX推進にもつながり、金融支援、税制措置、補助金などが優遇されることなど、プラスの面から事業を推進させ、長期的に企業体質の強化が図れる強みもあります。BCPが未策定、あるいは限定的な策定状況であれば、サプライチェーン全体を視野に入れ、あらゆる災害・リスクを想定したオールハザード型の策定の推進をお勧めします。

ドコモビジネスがBCP策定・運用の課題を解決

多くの企業がBCP対策のメインに据える「地震」、まさかの事態に従業員の安否を確認する仕組みづくりが重要になります。もちろん、サプライチェーンを構成する仕入先、拠点などにも安否確認の仕組みを導入しておくことで、大規模災害時の事業継続の支えとなってくれるでしょう。さらにサプライチェーン全体の同じレベルの情報が共有できるため、より広範囲な事業継続の支えとなってくれるはずです。「Biz安否確認/一斉通報」は、設定した震度以上の地震が発生した際、自動で安否確認依頼を配信、回答を自動集計。未回答の従業員に対する自動での再送信も可能です。災害発生時の管理者の負担を軽減、確実な安否確認の実現で迅速な事業再開をサポートします。台風・豪雨の注意喚起、感染症流行時の健康管理にも活用できます。さらに従業員の安否確認や一斉通報に加え、緊急地震速報をベースとして、BCP策定から運用までをドコモビジネスがトータルにサポートする「BCP対策ソリューション」もご用意しています。

メールの誤送信、メディアの紛失・盗難などによる情報漏えいを防ぐために、取引先、顧客といった社外のサプライチェーンと機密情報を共有する際のルールを決めておくこともBCP対策には欠かせません。「Box over VPN」はストレージ容量無制限で社外とのセキュアなファイル共有、業務アプリケーションとのシームレスな連携を実現するソリューションです。ドコモビジネスでは、インターネットを経由しないVPNでより安全に利用できるプランもお選びいただけます。

昨今、サイバー攻撃の標的はオフィスのITにとどまらず、製造業の工場や社会インフラの制御系システム（OT）を標的とするケースが急増しています。「WideAngle（OsecT）」は、多様化するOTのセキュリティ脅威に対して、ネットワークの可視化と脅威・脆弱性検知を実施。早期にリスク感知できる状態を作り、工場停止による損失を未然に防ぎます。

ヒューマンエラーの防止は、BCP対策においては欠かせない視点の1つです。ITの間違った使い方による情報漏えいのリスクを抑え、業務の生産性を高める備えもポイントになります。「まるごとビジネスサポート」は、パソコン、スマートフォン、タブレットなどの端末から業務用ソフト、インターネット上のサービスといったITに関するお困りごとを一括サポート。サプライチェーンにまで及ぶサイバーリスクを未然に防ぎ、企業や団体の業務効率化、DX推進を強力にサポートするサービスです。

サプライチェーンまでを見据えたBCP対策は、適切なICTソリューションを導入して、取り組んでみてはいかがでしょうか。