「格付け制度」でサプライチェーン全体のセキュリティを強化するポイントとは：高まるサプライチェーン攻撃のリスク

業界団体や経済産業省が、サプライチェーン全体でのセキュリティ強化の取り組みを開始している。本稿はその軸となる「格付け制度」の他、「サイバーレジリエンス」を確保してサプライチェーン全体のセキュリティを強化するポイントを紹介する。

[PR／ITmedia]

PR

　ランサムウェア被害が相次いで報じられている。感染拡大の要因の一つはサプライチェーンの脆弱（ぜいじゃく）性だ。2022年には、子会社が利用していたリモートアクセス機器の脆弱性が原因で、自動車部品製造業の企業がランサムウェアに感染して事業を停止し、納品先も工場の操業を一時停止せざるを得ない事態に陥った。

　2024年6月には大手出版・動画配信企業の関連サービスがランサムウェアを含む大規模なサイバー攻撃の被害に遭い、大々的なニュースとなった。いずれも子会社やグループ会社からランサムウェアが感染し、サプライチェーン全体に大きな影響が生じた例だ。

　この事態を重く見て、日本自動車工業会（以下、自工会）、日本自動車部品工業会（以下、部工会）などの業界団体や経済産業省（以下、経産省）が、サプライチェーン全体でのセキュリティ強化の取り組みを始めている。本稿はその軸となる「格付け制度」を解説する他、サイバーレジリエンスを確保してサプライチェーン全体の保護を図るポイントを紹介する。

対策がまちまちな状況がサプライチェーンリスクの一因に

日立ソリューションズ　扇 健一氏（セキュリティソリューション事業部　企画本部　チーフセキュリティエバンジェリスト兼Security CoE　センタ長）

　日立ソリューションズの扇 健一氏（セキュリティソリューション事業部　企画本部　チーフセキュリティエバンジェリスト兼Security CoE　センタ長）は「いずれも本体が狙われたのではありません。関連企業が被害に遭って、その影響が本体にも波及しています」と話す。

　子会社や取引先がランサムウェアに感染した場合でも、その被害が自社にどの程度影響を及ぼす可能性があるのか把握し、原因が判明するまでは事業を一時停止せざるを得ない。個人情報が漏えいしていれば謝罪対応が必要だ。この結果、ブランドや企業としての信用低下はもちろん、株価にも影響が及ぶ。

　扇氏は「経産省の『サイバーセキュリティ経営ガイドライン』にも『サプライチェーンに目を向けるべき』という指摘がありますが、被害は後を絶ちません」と語る。

　では、なぜサプライチェーンのセキュリティ強化が進まないのか。扇氏は2つの要因を挙げる。

　1つ目は拠点や子会社、取引先ごとにセキュリティ対策がまちまちであることだ。「2017年にランサムウェア『WannaCry』が流行した後、国内外の関連企業のセキュリティ対策状況をチェックリストで確認する企業が出てきました。しかし、そのチェックリストの解釈は拠点や担当者ごとにバラバラで、仮に『できています』と回答されても“うのみ”にできません。つまり、関連企業のセキュリティ対策状況が把握できず対応を依頼しにくいのです」

　2つ目は取引先に「命令」や「指示」を出せないという点だ。セキュリティ対策の是正が必要だとしても、子会社やグループ会社ならばともかく取引先に是正指示を出すのは困難だ。下請法に抵触する可能性や、対策に必要なコストを誰が負担するのかなど、検討すべき課題が山積している。

　その結果、対策は現地や相手任せになりがちで「業界の中で自社や相手先はどのくらいのレベルにあるのか」もきちんと把握できていない。

　だが諸外国ではセキュリティ対策をレーティングし、それを取引や調達基準に含める動きが始まっている。「ISO/IECの国際標準やNISTのガイドラインに沿って対策し、その証拠が出せなければ取引が許されないほどに厳しさが増しています」

　扇氏によると、目先の対策だけでは解決は難しいという。サイバー攻撃を受けてもビジネスを継続させるために、被害を受けたシステムを迅速に復旧して業務を再開させる能力「サイバーレジリエンス」の強化に取り組むことが重要だ。サイバーレジリエンスは、自社の情報資産や自社が提供する商品を守るだけでなく、サプライチェーン全体を守ることで初めて実現する。

　このためには本社の目の届く範囲だけでなく、海外拠点や子会社、取引先の協力が不可欠だ。工場などのOT（制御技術）の領域も、現場の部門と協力して対策する必要がある。

「業界の中での位置付け」を客観的に把握する「格付け制度」の整備

　今、その足掛かりとなる制度の整備が進んでいる。経産省の「産業サイバーセキュリティ研究会」が検討している「対策レベルの可視化」、いわゆる「格付け制度」だ。

　これまで個別のチェックシートで評価してきた各企業のセキュリティ対策の度合いを共通の基準で評価し、成熟度を5段階の星印で明示する。これによって「自社の対策は業界の中でどのくらいの位置付けか」「取引先はどうか」を客観的に把握できるようにし、サプライチェーンの信頼性を確保するのが狙いだ。

　扇氏によると、格付け制度は情報処理推進機構（IPA）の「SECURITY ACTION」制度を踏まえ、さらには自工会・部工会が作成した「サイバーセキュリティガイドライン」をはじめとする業界ガイドラインとの整合性を取ったものになると予測される。政府調達や補助金申請の条件としても活用される見込みで、取得していない企業は取引から除外される可能性もある。

　SECURITY ACTIONでは「中小企業の情報セキュリティ対策ガイドライン」付録の「情報セキュリティ5か条」および「5分でできる！情報セキュリティ自社診断」に準拠していることを「一つ星」「二つ星」で対外的にアピールできる。2017年の制度開始以来、約34万者が宣言済みだ。

　経産省の格付け制度では、その先のステップとして「サプライチェーン形成企業として最低限満たすべき基準」を自己宣言する「三つ星」、「サプライチェーン形成企業として標準的に満たすべき基準」について第三者認証を受ける「四つ星」、重要インフラ行動計画において重要インフラ事業者として指定され、サプライチェーンの核となる企業の水準である「五つ星」の制定を検討しているという。

　五つ星の取得が求められる企業は、電気や鉄道など15分野の重要インフラ事業者や経済安全保障推進法で指定されている事業者およびそのサプライチェーンの要となるような事業者が含まれると想定される。

　この制度は2025年度の開始が見込まれている。どのような事業者がどの段階を目指すべきか、誰が認定するのかといった具体的な事柄は未定だ。しかし幾つかの既存のガイドラインからそのヒントは得られると扇氏は主張する。

　その一つが、自工会・部工会のサイバーセキュリティガイドラインだ。対象をレベル1〜3に分け、講じるべき対策を具体的に示している。

　レベル1は「自動車業界として最低限実装すべき項目」だ。「自社の情報セキュリティ対応方針（ポリシー）を策定している」といった項目が挙げられており、経産省の格付け制度では三つ星相当と考えられる。レベル2は「自動車業界として標準的に目指すべき項目」で、より高度な項目が記されている。これは四つ星相当で、対象になり得るのは重要な自社技術・情報を有する大手サプライヤーと考えられる。

　レベル3は緊急時対応計画、システム復旧計画の策定や取引先に対するセキュリティ指導といった項目を含む、さらに高度な対策が求められる。自動車業界をけん引する企業が該当し、五つ星のレベルに該当しそうだ。

自工会のサイバーセキュリティガイドライン。既存のガイドラインを参照することで、自社はどのレベルを目指し、どのような対策を講じるべきかが見えてくる（提供：日立ソリューションズ）

外部のソリューションをうまく活用して適切な格付けを

　サプライチェーンのセキュリティ対策は急務だが、全ての関係企業に同一のセキュリティ対策を求めるのはナンセンスだ。企業規模や扱う情報の重要度、サプライチェーンにおける位置付けを踏まえてそれぞれに適した対策を求める格付け制度は、この状況を改善する一助となる。

　格付け制度や各ガイドラインに示された対策の中には自社で実施すべき項目がある一方、セキュリティソリューションやサービスの活用によってより効率的に実施できる対策も含まれている。

　その一つが「脆弱性管理」だ。自工会や部工会のガイドラインでは「社外に公開しているサーバについて、本番稼働前、稼働後に脆弱性診断を実施し、判明した脆弱性に対して対策を行っている」という項目がある。クラウドサービスや仮想化環境も含めて自社にどのようなIT資産があり、どのような脆弱性が存在するかを確認し、速やかに手を打つ必要がある。

　この課題を解決するため、日立ソリューションズはCAASM（Cyber Asset Attack Surface Management）を活用した「情報資産・脆弱性管理ソリューション」を提供している。セキュリティベンダーのArmisやCrowdStrikeで企業の資産情報を収集し、脆弱性情報や脅威情報と照らし合わせることでリスクを一覧化。単一のプラットフォームで管理する仕組みだ。IT・OA環境だけでなく、IoT・OT環境も管理できる。

「情報資産・脆弱性管理ソリューション」提供イメージ（提供：日立ソリューションズ）

　サプライチェーン全体の対策には「取引先セキュリティ評価支援サービス」「海外拠点向けセキュリティアセスメント」がある。大手企業ともなると取引先は100〜200社に上る。その全てを自社で点検するには大きな労力がかかる。これらのサービスでは、日立ソリューションズがユーザー企業に代わって対策レベルをヒアリングする。評価結果を共有することで、調達要件に反映させるといった次の一手に生かせる。

　企業の中にはセキュリティポリシーを策定以来変更せず、形骸化しているケースもある。法規制が厳しさを増す海外の取引先から改善を求められる場合や、ESG（環境、社会、ガバナンス）の一環として最新の状況に合致させたい場合を想定して、日立ソリューションズは「情報セキュリティポリシー策定コンサルティング」も提供している。

　業界ガイドラインに準拠して格付け評価で適切なレベルとして認められるには、事業継続計画の策定やデータ回復手段の確保、CSIRTの構築、認証・認可に始まり、マルウェア対策、ログの取得や分析といった包括的な取り組みが求められる。日立ソリューションズは、「データ回復ソリューション」や「ゼロトラストセキュリティソリューション」、SIEMやXDRに対応したマネージドセキュリティサービス（セキュリティ運用支援サービス）など幅広いサービスで支援する。

　「格付け制度の三つ星や四つ星を目指す段階では、クラウドを前提に最新のセキュリティを導入するゼロトラストセキュリティが中心になります。人・組織、プロセス、ツール・システムという三角形で、バランス良く対策を進めていきましょう」