DX時代におけるサプライチェーンリスクとマネジメントのあり方は？ 第2回 サプライチェーンを阻害するサイバー攻撃、どう防ぐか

2023年6月4日には、国内有数の貿易港である名古屋港がランサムウェアによる攻撃を受けた。コンテナの搬出入を管理するシステムがサイバー攻撃を受け、システムとつながるプリンタから脅迫文が延々とプリントアウトされたという。これにより、港としての機能がほぼ全面的に停止する事態に発展してしまった。

名古屋港管理組合はサイバー対策の重要性を十分に意識しており、インターネットに接続されていない専用パソコンから入力を行うというワークフローにしていたそうだ。しかし、一部の事業者にはVPN（仮想プライベートネットワーク）を通じた外部からのアクセスを許可していた。ここが攻撃の糸口として悪用された可能性が指摘されている。

こうしたサプライチェーンに対する攻撃は、標的の企業が万全の対策を取っていたとしても、セキュリティ対策が甘く脆弱性の高い別の企業が最初の標的となり、そこを踏み台として本命の標的が狙われてしまう点が厄介だ。サプライチェーンでつながっている企業は、システム同士をネットワークでつなげて生産に関する情報をやり取りする場合があるため、その関係性につけ込んでいるわけだ。

セキュリティ対策のレベルをそろえる

攻撃者はセキュリティ対策の甘いサプライチェーンの中の一社を最初の標的として狙い、そこを踏み台に標的の企業に攻撃を仕掛けてくる。これを防ぐには、ITネットワークのつながりを完全に絶つことが一つの選択肢であるが、現代においてそれは非現実的であることは言うまでもない。

であれば、サプライチェーン全体でレベルをそろえた対策を行う他に手はない。サイバーセキュリティを語る際にしばしば使われる下記の「セキュリティの樽」のイラストは、まさにこれを示している。板の長さが不均一な場合には、最も短い板が確保できる強靭性の上限となってしまう。別の言い方をすれば、いくら他の場所を堅牢にしておいたとしても、一つでも脆弱な部分があれば意味がないということだ。

では、自社のガバナンスが届きにくい第三者を含むサプライチェーン全体で、樽の短い板を作らないためにはどうすればよいか。その方法の一つに、ISMSのような第三者認証制度を活用するという手がある。

こうした制度を活用することで、「ここまでは最低限やるべき」というコンセンサスを関係者で改めて取る必要がなく、そのメリットは大きい。また、政府や業界団体が制定するガイドラインを活用する手もある。