Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録

損害賠償を請求された例も!? サプライチェーン攻撃への対策を考える

印刷

損害賠償を請求された例も、サプライチェーン攻撃への対策は不可欠

現代の企業活動は一社だけで完結せず、原材料や部品の調達から製造、在庫の管理、流通、販売など、製品やサービスが消費者の手に届くまで様々な企業が関わっています。これを「サプライチェーン」と呼びますが、今、このサプライチェーンの脆弱性を標的にした「サプライチェーン攻撃」が情報セキュリティの新たなリスクとして浮上しています。

背景には、サプライチェーンの頂点あるいは始点となる大企業やグローバル企業のセキュリティ対策が、近年、堅牢化したことがあります。サイバー攻撃者はそういった堅牢なセキュリティを突破するよりも、情報セキュリティ対策の甘いチェーンの別の企業に侵入し、そこを足がかりに大企業に攻撃をかける方が効率的だと考えるようになったのです。

そういった中、IPA(独立行政法人情報処理推進機構)による「情報セキュリティ10大脅威 2019」では、組織への脅威として、標的型攻撃による被害、ビジネスメール詐欺による被害、ランサムウェアによる被害に続く第4位に「サプライチェーンの弱点を悪用した攻撃の高まり」が初めて挙がっています。

サプライチェーン攻撃にはどのようなパターンがあるのか

サプライチェーンにおけるリスク対策でこれまで重点が置かれていたのは、災害・事故などが起こっても事業を止めないという、事業継続計画(BCP)に関わることでした。下請け企業や協力企業などからの原材料や部品といったモノの調達が、災害・事故などによって計画通りできなくなることによって、事業継続への支障が生じるリスクへの対策が重視されていたのです。

しかし昨今は、サプライチェーンを構成する各企業はモノの流れだけでなく、情報ネットワークでもつながっているケースが少なくありません。ジャストインタイム方式で無駄を省いた生産を目指す際には、納期情報などを常に共有する必要があるからです。そのためサプライチェーンの中に情報セキュリティ対策が不十分な企業があると、その企業からのメールや納品物にコンピューターウイルスが混入していたり、不正アクセスを許してチェーンの情報が流出するといったリスクが生じるのです。

実際、過去にはある企業が作成した通販サイトシステムで、ソフトウェアの欠陥である脆弱性が狙われ、委託元の顧客クレジットカード情報を含む個人情報が流出した事件が起きています。その企業は、委託元からサイトのセキュリティ対策の不備を指摘され、情報漏えいへの対応や調査費用、売上減少に対して、約1億円の損害賠償請求を受けました。

自社のセキュリティホール(脆弱性)が原因で、サプライチェーンの他の企業に被害を生じさせた場合、ビジネスパートナーとしての信用を失うことはもちろん、取引の打ち切り、損害賠償請求につながるなど、事業の継続に致命的なダメージを受けることになります。経営者はサプライチェーンを狙ったサイバー攻撃への対策を、経営課題のひとつとして取り組まなければなりません。