サプライチェーンセキュリティは「共創型」で強化する リスクを可視化して「安全な取引関係」を築く秘訣とは？：委託元と委託先が抱える根本原因を解消

サプライチェーン攻撃が激化する今、委託元にとって侵入の起点となり得る委託先のセキュリティ評価を適切に実施することは急務だ。だが、さまざまな制約からこれがうまく機能しないケースも多い。委託元と委託先が持つ根本原因を解消する秘訣とは。

PR／ITmedia

PR

　レンズメーカーへのランサムウェア攻撃で受発注システムが停止し、大手眼鏡チェーンへの部品供給が数週間ストップ。消費者への商品提供にも影響が波及した――。委託先企業への攻撃が、委託元の事業継続を直撃する事例が近年急増している。

　情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2025」でも「サプライチェーンや委託先を狙った攻撃」が2位にランクインしており、7年連続でトップ10入りという状況が続いている。激化するサプライチェーン攻撃を防止するには、委託先管理を適切化し、サプライチェーン全体でセキュリティ水準を向上させる必要がある。この根深い課題を解消するにはどうすればいいか。

委託先のセキュリティ評価がうまく機能しない根深いワケ

　セキュリティ評価サービスを提供するアシュアードの真藤直観氏はサプライチェーン攻撃増加の背景について以下のように語る。

　「サプライチェーンを停止させる要因といえばこれまで自然災害やテロが主な要因でしたが、今やサイバー攻撃がその筆頭になりました。攻撃者は経済合理性に基づいて行動しており、セキュリティ対策が限定的で攻撃しやすい中小企業を標的にしています」

アシュアードの真藤直観氏（Assured事業部 セキュリティエキスパート／セキュリティサービス部 部長 公認情報システム監査人（CISA） システム監査技術者）

　委託元の大手企業を直接狙ったサイバー攻撃は成功率が低いが、セキュリティ対策が不十分な委託先の中小企業を経由すれば成功率は格段に向上する。委託先1社への攻撃で複数の委託元に同時に打撃を与えられ、攻撃者にとって投資効率が高くなる。警察庁が公表した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によると、中小企業を狙ったランサムウェア攻撃は増加傾向にあるという。

　より深刻なのは、サプライチェーンの複雑化によって「ウィーケストリンク」（最弱点）の特定が困難になっていることだ。一次委託先や二次委託先、さらにその先まで連なるチェーンの中で、どこに脆弱（ぜいじゃく）性が潜んでいるかを把握するのは至難の業だ。委託先のセキュリティリスク管理はもはや経営の必須課題となっている。

　ただ、サプライチェーンセキュリティの重要性についての認識は高まっているものの、委託先のセキュリティ体制をどのように評価するかは依然として難しい問題だ。委託元と委託先の双方が異なる悩みを抱え、有効な打開策を見つけられずにいる。

　委託元企業の悩みは「何を基準に評価すべきか分からない」点にある。多くの企業が独自のチェックシートを作成しているが、セキュリティ専門人材が不足していることもあって評価項目の妥当性を判断できていない。チェックシートを整備したとしても、それを継続的にメンテナンスしながら運用するのは困難だ。最新のセキュリティトレンドや法規制の変更に追随するには、相当な専門知識と工数が必要となる。

　委託元社内での温度差もある。仮に、情報システム部門が委託先のセキュリティ評価を実施して問題を発見したとしても、その後の対応方針を巡って組織内で意見が分かれることがある。長年の取引関係を築いてきた事業部門や購買部門にとって、セキュリティリスクを理由に取引を見直すことは受け入れ難い判断となる。

　委託先企業にも悩みがある。複数の委託元から異なる評価項目でのチェックシートが送られてくるため、個別対応に追われて本来の業務を圧迫されていることだ。委託元によってチェックの内容や要求レベルが変わり、どの基準に合わせるべきか判断に迷うケースも多い。

　そもそも委託先がセキュリティリスクについて十分に認識していないこともある。IPAの「2024年度 中小企業における情報セキュリティ対策に関する実態調査」によると、情報セキュリティ対策に投資していない理由として44.3％が「必要性を感じていない」と回答した。「他社との取引において最も大きいリスク」については38.4％が「分からない」と答えた。ここから、委託元と委託先の間でセキュリティに関する適切なコミュニケーションが取れていない実態が見えてくる。

第三者評価が切り開く「フェアな関係」

　こういった構造的課題の解決には、従来の個社対応からの脱却が欠かせない。鍵となるのは専門家による第三者評価の仕組みだ。

　そのためにまずは業界共通の評価基準が必要になる。国際的な基準をベースにした統一的な評価方法があれば、委託先企業は一度の回答で複数の委託元の要求に応えられる。評価する側も評価される側も大幅に省力化できるだろう。

　次に重要なのは客観的な評価視点の確保だ。委託元と委託先の二社間では、どうしても利害関係や感情が絡む。委託元は「厳しく評価したいが、取引関係を悪化させたくない」というジレンマを、委託先は「正直に答えたいが、取引停止が怖い」という恐怖心を抱える。この構造的な問題を解決するには、第三者機関が専門知識に基づいて評価する仕組みが有効だ。

　投資対効果の可視化も必要だ。セキュリティ対策は従来、「やって当たり前」で効果が見えにくい分野だった。しかし第三者評価によってスコアリングすれば、対策実施前後の改善度合いを数値で示せる。これによって「セキュリティ投資は経営にプラスとなる」という認識が広がり、委託先企業の投資意欲向上も期待できる。IPAの同調査でも、取引先からセキュリティ対策の要請を受けた企業の約6割が「対策実施が取引につながった」と回答している。

　真藤氏は理想的なサプライチェーンセキュリティのあるべき姿をこう描く。

　「委託元と委託先の隔たりがあるコミュニケーションを正常化し、適切なセキュリティ投資を促進することで、サプライチェーン全体が安全になります。対策を実施した委託先が委託元によって正当に評価され、安全な取引先として認知されることでビジネスが拡大する。そんな健全な市場環境をつくるべきだと考えています」

「Assured企業評価」が実現する効率的なリスク管理

　こうした課題を解決するサービスが、アシュアードが2025年6月にリリースした「Assured企業評価」だ。委託元企業からの依頼に基づき、委託先企業のセキュリティリスクを第三者の視点から評価し、その結果を詳細なレポートにまとめる。

　評価項目はISO 27001やNIST SP 800-171といった国際基準に準拠した65の大項目で、組織体制、インシデント管理、従業員教育、情報資産管理、OA端末セキュリティ、アクセス制御、暗号化、物理・環境セキュリティ、システム運用、監視、ネットワークセキュリティ、システム開発、業務継続、外部委託先管理など、企業が直面するセキュリティリスクを網羅的にカバーする。

　評価を担当するのは、真藤氏をはじめとする、監査法人やセキュリティコンサルティング会社出身のエキスパートだ。単なるチェックシートの確認にとどまらず、回答内容の妥当性を検証し、詳細な分析を実施する。

　同社はクラウドサービスの安全性を第三者評価し、その評価結果を蓄積したデータベースを提供する「Assured」というプラットフォームを展開しており、大手企業を中心に、金融機関、インフラ、製造業など幅広い業界で1000社以上の導入実績を持つ。その豊富な知見を活用して生まれた新サービスがAssured企業評価だ。

Assured企業評価の仕組み（提供：アシュアード）

　Assured企業評価によって得られた委託先企業の評価結果は、Assuredプラットフォームで一元管理できる。レポートは委託先ごとに100点満点でスコアリングされ、項目別の課題を詳細な分析レポートで確認できる。これらの客観的なデータを基に、感情論ではない合理的な契約判断が可能になる。

　評価項目については最新のセキュリティトレンドや法規制の変更に対応した追加、調整をアシュアードが継続的にメンテナンスする。これによって、委託元企業が個別に評価基準を更新する手間から解放され、常に最新の基準で評価することができる。

　委託先企業は一度回答すれば、Assured企業評価を利用する別の委託元から依頼があった際に回答内容を再利用できるため、何度も同じ項目に回答する手間が省ける。また、回答内容はAssuredプラットフォームに蓄積されるため、経年でのスコア変化を追跡し、セキュリティ投資の効果を定量的に確認できるというメリットもある。

Assured企業評価で取得できる評価レポート（提供：アシュアード）

今後は影響評価などに有効な機能を実装予定

　Assured企業評価を先行導入した金融・保険業界の企業からは高い評価を得ている。

　「導入企業からは、客観性と専門性をご評価いただきました。委託元企業が社内で委託先のリスクを指摘しても『厳し過ぎる』と事業部門に反発されることがありましたが、第三者評価機関である当社のレポートを提示することで説得力が上がり、適切なリスク判断に基づく意思決定ができるようになったと聞いています」

　サプライチェーンを可視化する台帳機能なども追加予定だ。台帳機能では、これまで「Microsoft Excel」で管理されていたようなサプライチェーン台帳管理をAssured企業評価に集約し、一次委託先までの管理だけでなく、再委託先や三次委託先まで含めたサプライチェーンツリー構造として表示する。これによって、脆弱性の影響範囲の調査や重要情報がどこの委託先まで流れているかなどを可視化し、侵害対応やウィーケストリンクの特定に利用できる。一部機能について特許出願済みの技術だ。

サプライチェーンを可視化する台帳機能は今後実装される予定だ（提供：アシュアード）

　サプライチェーンセキュリティの向上は個社努力だけでは限界がある。業界全体での取り組みによって、セキュリティ対策を実施した企業が正当に評価される市場環境の構築が急務だ。Assured企業評価の普及は、日本全体のサイバーセキュリティレジリエンス向上への確かな一歩となるだろう。