DX時代におけるサプライチェーンリスクとマネジメントのあり方は？ 第2回 サプライチェーンを阻害するサイバー攻撃、どう防ぐか

例えば「SEMI E187」は、半導体製造装置のサイバーセキュリティ仕様である。半導体製造装置に対するサイバー攻撃が急増したことを受けて、半導体業界団体のSEMI Taiwanがリードして規格を策定したもので、半導体工場に納品する製造装置メーカーやSIerを対象としてセキュリティ要件が定められている。こうした方法で、ネットワークでつながったサプライチェーン全体で穴を作らないことが重要となる。
サイバーレジリエンスの考え方

サイバーレジリエンスとは、システムがサイバー攻撃を受けた時に、その影響を最小化するとともに、迅速に復旧する仕組みや能力のことを指す。これまでのサイバー攻撃対策とどう違うのだろうか。

これまでの対策はあくまで「脅威への対応」であり、安全な社内と危険な社外を分離し、その境界上で防御策を取ることでいかにシステムを攻撃から守るかという視点がメインであった。しかしクラウドが普及し、自社と他社のつながりが広がっていく時代に、この視点はそぐわない。

サイバーレジリエンスでは「事業の継続性」を重視する。サイバー攻撃をBCP（事業継続計画）で想定する災害や事故などの他のリスク事象と同列に並べ、かつ「サイバー攻撃のリスクをゼロにすることは不可能だ」という前提のもとで、被害に遭った後の復旧戦略を立てるのが現実的な対応となる。つまり、サイバー攻撃対策というものを特殊な事象として切り出すのではなく、どうしても起こるものとしてとらえ、事業へのダメージを最小限にする現実的なアプローチと考える。

その上でサイバー攻撃リスク特有の課題を挙げるならば、自然災害などと異なり、被害の発生を検知してその影響範囲を確認することが難しいという点だ。この点に関しては、クラウドサービスやエンドポイントの脆弱性を可視化・管理することができるポスチャマネジメントや、平常時の組織内での通信の状況を機械学習によって学習しておき、何か異常な通信を検知した場合にアラートを行うAIアノマリー検知などといったソリューションによって対処できる。

検知したサイバー攻撃やその被害への対応として、ストレージやネットワーク機器の二重化・サブシステムの運用といった冗長化とデータのバックアップ体制を敷くことで、システムの復旧と事業再開までの時間の短縮を実現するのがよいだろう。

Spectee 取締役 COO 海外事業責任者 根来諭

1976年 東京都生まれ。防災士・企業危機管理士。1998年にソニー株式会社入社。法務・知的財産部門、エンタテインメント・ロボットビジネスでの経営管理を経て、Sony France（パリ）、Sony Electronics Asia Pacific（シンガポール）、Sony Middle East and Africa（ドバイ）にてセールス&マーケティングを担当。中近東アフリカ75カ国におけるレコーディングメディア＆エナジービジネスの事業責任者を最後に、2019年 Specteeに参画。
著書に「シン・危機管理」（みらいパブリッシング） / 「サプライチェーン強靭化」（中央経済社）。
（）