サイバーセキュリティー対策の不備はサプライチェーン全体を毀損する
長引くコロナ禍の混乱に乗じるように、また、EU情勢の不安定さも加わって、ランサムウェアなどによるサイバー攻撃の被害が世界中で相次いでいる。
記憶に新しいところでは、3月にトヨタ自動車系の部品メーカー、デンソーのドイツの現地法人が攻撃を受けたが、同社では昨年12月にもメキシコ工場が被害に遭っている。被害が深刻だったケースとしては、今年2月に起きたやはりトヨタの関連企業、小島プレス工業(愛知県)の例がある。この影響で、トヨタは国内全工場の操業の一時停止を余儀なくされた。製粉大手のニップンも、昨年7月に受けたサイバー攻撃で、決算発表を3ヶ月も延期する事態に陥った。私が長く、「IT前提経営」の重要性を説いてきた理由は、ITの特徴を的確に理解できていないと、経営戦略立案の観点からはもちろんのこと、サイバーセキュリティーの観点からも、経営が立ち行かなくなるからに他ならない。
独立行政法人情報処理推進機構(IPA)が公表した「情報セキュリティ 10 大脅威 2022」によると、組織への脅威においては、ランサムウェアによる被害が前年に続いて1位だった。ランサムウェアは、読んで字の如く「ランサム」(英語で「身代金」の意味)要求型で、添付ファイルを開いた瞬間、自分のPCだけでなく、繋がっているシステム(会社の基幹システムなど)のファイルがロックされて開けなくなり、業務が遂行できなくなる。ロック解除のために、攻撃者が身代金を要求してくるというものだ。その他にも、添付ファイル開封によるウィルス感染などで被害が発生する事例は数多ある。
冒頭で挙げた事例のほかにも、病院に対する攻撃があった。昨年10月、徳島県の小さな病院が被害にあった件は、多くの人の記憶にあるのではないだろうか。人口8000人弱の小さな町で唯一の病院であるつるぎ町立半田病院内のあらゆるシステムがダウンしてしまい、病院の機能を取り戻すまでに2ヶ月もの時間を要した。コロナ禍の中、高齢化が進む過疎の町に与えた影響の深刻さは、ここに記すまでもないだろう。読売新聞の独自調査によると、2016年以降、国内で少なくとも11病院が、ランサムウェアの被害に遭っていたという。新システムの構築などに2億円を要した病院もあるといい、もたらす影響は経営的にも甚大だ。
海外でも深刻な被害が相次いだ。昨年5月には、アメリカ最大の石油パイプライン、コロニアル・パイプラインが攻撃を受け、5日間操業停止に追い込まれた。その翌月には、食肉加工世界最大手、JBS(ブラジル)の米国拠点も被害を受け、工場が一時稼働停止に追い込まれ、日本円にして約12億円もの身代金の支払いを余儀なくされた。
前述の「10大脅威」の中で、「サプライチェーンの弱点を悪用した攻撃」は、組織への脅威で前年の4位から上昇して3位となっている。昨今の喫緊の課題は、サプライチェーンマネジメントにおけるサイバーセキュリティー対策だ。企業のグローバル化やDXの推進によってサプライチェーンが年々高度化・複雑化する中、自社だけ堅牢なセキュリティー対策を施していても、その委託先や再委託先、再々委託先、その先の先の会社が、ひとたび悪意のある添付ファイルを開いてしまい、感染してしまうと、その上流の会社にも影響が及んでしまう。自社の内部統制上の不備のせいで、サプライチェーン全体に迷惑をかけてしまう。
なお、サプライチェーンにおける、サイバーセキュリティーの争点はいくつかに絞られ、例えば以下の4類型がある。
1. ウィーケストリンク=ターゲット企業のビジネス上の繋がりを狙い、セキュリティの甘い取引先や関連会社を攻撃の踏み台にする
2. サービスインフラ=クラウドインフラやサービスを狙いサービス利用社に被害を与える
3. 情報の委託先=ターゲット企業が業務上重要なデータの取扱を委託している業務委託先を狙う
4. ソフトウェアの悪用
ランサムウェアは、1.と4.の掛け合わせのように見えるが、各種論文を読むと結局のところは1.の問題を解決せよ、という風に解釈できる。つまり、攻撃者は、再委託、再々委託先などを含む、委託先でウィークな(弱い)ところを狙うという、いわば当たり前の帰結である。
そうした中、サプライチェーン内の約束事(内部統制の一環)として、下記の3点でこれに対処するように促されている。
1. 再委託先、再々委託先を含む委託先のサイバーセキュリティー対策の書面での定期的(1年以内)な確認
2. サイバー保険への加入(持ち株会社、グループ会社、場合によっては委託先の取引条件とする)
3. 調達方法の厳格化
1. 委託先の対策確認については、サプライチェーンの中で発生するサイバーインシデントの多くは、再委託先、及び再々委託先で起こっているということを、いくつかの論文が指摘している。ISMS(情報セキュリティマネジメントシステム)が浸透しつつあるとはいえ、それでも攻撃者は、「そこまではやらないだろう」と判断しがちな部分を巧みに狙ってくるということだ。
2. サイバー保険については、日本国内での加入率はまだ2%以下と非常に低い。だが、弊社のいくつかの顧客からの問い合わせを受けて各種保険会社に照会したところ、冒頭で述べたトヨタの事件以降、中小大手問わず、サイバー保険の問い合わせが相次いでいるとの回答があった。今後企業からの関心はますます高まると見られる。加入率50%と高い米国では、コロナ禍とEU情勢の悪化などを経て、加入率がさらに上がるとも指摘されている。米国では、大手保険会社のみならず、インシュランスTECHのベンチャーなども新しいタイプの保険を提供しはじめており、成長している。保険料の高騰が想定されるが、今後、サプライチェーン全体でのサイバー保険への加入は「必須」の時代が来るであろう。
3. 調達方法の厳格化については、かつて起きた「Cisco事件」という事件に端を発する議論だ。Ciscoのルーター製品(又はそのOEM)にバックドアが大量に仕掛けられたという事件で、Ciscoのルーターを作っているサプライチェーンの中の企業が、ほぼ同じものをOEM先に提供したことも問題を大きくしたと言われている。こういった場合、ソリューションや製品を仕入れるルートをしっかり選び、導入後のサポートもしっかりと受け続ける、というIT内部統制上のルールが重要になってくる。
組織体制でいうならば、サイバーセキュリティーの責任者は、CIO(最高情報責任者)が兼任するのではなく、CISO(最高情報セキュリティ責任者)として独立して存在すべきである、という議論もある。CISOを配置する場合でも、会社ごとに1名とかグループごとに1名ではなく、「部署ごと」に存在すべきだというものだ。これは特に、サプライチェーン文脈においては、部署ごとにノウハウが集中することがあるためである。そうでないと、細かな商流や取引先まで把握することはできず、その結果、単になんでもかんでも厳しくする、というような前近代的なセキュリティー対策となってしまうからだ。国内においては、深刻なIT人材不足が叫ばれる中、また、こうした任務を遂行できる人材には高額の人材費を要することを考えると、取引先として優秀なセキュリティーベンダーに委託することも選択肢となる。
これまで例示してきた一連のサイバー攻撃事例を知ってもなお、規模の小さい企業は「グローバル企業特有の話でしょう」「うちの会社は小さいから大丈夫」と捉えるかもしれない。だが、そういう考え方をしている無防備な企業こそが、先に述べた「ウィーケストリンク」となるのであって、零細企業だろうと中小企業だろうと大企業だろうと、油断大敵だ。
私は、ネットリテラシー検定機構という一般社団法人の理事を務めている。そこでは、インターネットリテラシーの欠如によるネット利用中の事故・事件を未然に防ぎ、国民全体の知識の底上げを図ることを目的に、検定を通して学習を促すことをしている。
そうした活動を続けてきた立場からも、これまで述べてきたことをまとめると、結局、最善の対策としては「ネットリテラシーの向上」に尽きるという結論になる。それに加えて、現在のサイバー攻撃の事例が物語るのは、今回述べてきた通り、自社単独で社内のネットリテラシー教育や内部統制をやっているだけでは事足らず、サプライチェーン全体として対策に取り組まなければならないという点がある。そのためには、事業規模としても一般的に大きい、サプライチェーンの上流の会社が、下流の会社に対して、一定程度のコストを払って、セキュリティー体制をルール化する必要性についても、広く議論されるべき時期に来ているのではないか。
ガーディアン・アドバイザーズ株式会社 パートナー 兼 IT前提経営®アーキテクト
立教大学大学院 特任准教授
高柳寛樹
----
高柳の著書はこちらよりご参照ください。
「IT前提経営」が組織を変える デジタルネイティブと共に働く(近代科学社digital)2020
まったく新しい働き方の実践:「IT前提経営」による「地方創生」(ハーベスト社)2017
----