サイバー攻撃、弱い組織を突破口にサプライチェーン全体浸食の危険

三菱総研がメディア意見交換会で指摘、グループ会社や取引先との事前対応が被害最小化とアドバイス

企業活動のグローバル化によって、サプライチェーンが複雑さを増している。関連会社や取引先、業務委託先や協業先などとの密接なネットワークが拡大するにつれ、セキュリティ対策の弱い組織を突破口に侵入し、サプライチェーン全体に深刻な被害を与えるサイバー攻撃が増加している。

こうした状況を受け、三菱総合研究所は8月30日、東京都内の同社本社内でメディア関係者を招き、サプライチェーンにおけるサイバーセキュリティをテーマに意見交換会を開催した。

同社デジタル・イノベーション本部サイバーセキュリティ戦略グループの平野賢一主任研究員が近年の国内外の動向や対策について解説。取引先が攻撃されたのをきっかけに当該企業の全工場がストップせざるを得なくなったなど、深刻な事例を取り上げ、サプライチェーン全体でセキュリティを捉える必要があると警告した。求められる対応としては、グループ会社や取引先と被害想定シナリオの共有、初動対応の事前策定などを進めておくことが被害の最小化につながるとアドバイスした。

平野主任研究員

大企業・中堅企業の17%が被害経験あり

経済産業省が2021年度に実施した調査によると、「取引先等を経由したサイバー攻撃被害の経験」について大企業・中堅企業1876社のうち17%が「ある」と回答している。平野主任研究員は調査結果を引用しながら「こうした攻撃は10年前から問題視され始め、年々増加してきた」と語り、サプライチェーンにおけるセキュリティリスクを大きく4つに分類して、実例と共に紹介した。

このうち、「取引先のサイバー被害が事業被害として波及」するパターンでは、2月に発生した大手自動車メーカーを巻き込んだ生産停止被害を報告。このケースでは主要サプライヤーが不正アクセスを受け、被害拡大を防ぐためシステムを停止しネットワークを遮断したため、川下メーカーの全工場も稼働停止を余儀なくされた。

他のリスクとして「取引先から自社の情報が漏洩する」「取引先を経由してサイバー攻撃される」「製品や社内システムに使用されているソフトウエアの安全性（が問題になる）」を明示した。

政府の対策と、企業の取り組みの要点は

気になる対策の動向について、平野主任研究員は「米国は非常に熱心に取り組んでいる」として、直近3年間ほどの大統領令、国防調達におけるガイドラインや認証制度の改定、さらには企業などで使われている個々のソフトウエアに対しても、各ソフトの構成要素（機械で言えば「部品」）を全て列挙した一覧表「SBOM」（Software Bill Of Materials）を用いて、掘り下げたリスク管理をする取り組みにも触れた。

また、「日本でも米国の動きに呼応して、対策強化が始まっている」と指摘。政府調達、基幹インフラ、防衛関連調達などの分野での動きを取り上げた。

セキュリティを確保するための取り組みの方向性について平野主任研究員は、次の4つを列挙した。

このうち、②については取引先に対して書類点検・訪問点検・セキュリティカルテといった踏み込んだ点検・是正活動を行っているNECの取り組みを紹介。

③は日本自動車工業会と日本自動車部品工業会が共同で策定した「自動車産業サイバーセキュリティガイドライン」を挙げ、前述のサイバー攻撃被害の際に「対策実行の意志決定が非常に速かったが、日頃から業界内で議論を重ねていたことが奏功したのではないか」との見解を示した。

④は攻撃側視点でセキュリティの現状を定量評価する「セキュリティレイティングサービス」などを紹介した。

「どんな情報でも漏洩はリスク」「侵攻などで緊急撤退時の情報セキュリティが今後課題に」

講演終了後は、参加した報道関係者から質問が相次いだ。質疑応答の一部を記述する。

――米国の取り組みが先行している背景は？
「取り組みはずっと以前から継続しているが、直近では経済安全保障の影響が大きいと思われる。米国企業のサプライチェーンは中国依存度が高いため、危機意識も強まっているようだ」

――取引先にセキュリティ対策を求めるに当たり、中核企業などがコスト面を補助しているケースはあるか。
「利益供与とみなされかねないので難しいだろう。セキュリティ対策コストは製品価格への転嫁などで吸収することになるかもしれない」

――経済安全保障推進法で、日本の基幹インフラへの重要設備の導入・維持管理などの委託について、政府が事前審査することが定められたが、政府にはどの程度の審査能力があるのか。
「今年始まったばかりなので、これから具体的な取り組みを通じて改善されていくだろう。むしろ分野がエネルギー、物流、通信、金融など多岐にわたるので、各分野のガイドライン整備が今後の課題と思われる」

――SBOMの作成が求められた場合、どんな準備が必要か。
「現状、製品に組み込まれるソフトウエアのSBOMに関する取り組みが先行している。この場合、製品を使用する側の企業が、SBOMの情報を活用できるかが課題となる。また、システム開発を外部委託する場合はベンダーとのコミュニケーションツールとして活用されることが望ましいが、SBOMの情報を管理していく仕組み作りが課題となると思われる」

――米中対立が本格化してきた2018年ごろ、バックドアを仕掛けられるスパイチップが話題に上ったが、実在するのか。
「元米国国家安全保障局局員で、米国政府による情報収集活動を告発したエドワード・スノーデン氏の告発内容の中でも、米国政府自身が似たような情報収集を試みていたという情報が含まれていた。従って技術的には可能であり、中国も技術成長に伴い同じ力を手にし始めたということだろう。製造後にも回路構成を変更できるプログラマブル半導体であれば、やりようはあるのではないか」

――クレジットカード情報などは別として、住所や氏名程度の個人情報漏洩は、どの程度の被害を発生させ得るのか。情報漏洩が漏洩内容の深刻度に関係なく問題視されているのは、セキュリティ業者が儲けるための誘導ではないのか。
「悪用する側は、どんな情報であれ常に悪用する方法を考えているので、想像もつかないアイデアを持っている恐れがある。社員リストが漏洩すれば成り済ましメールでの攻撃に利用できるし、どんな情報でも漏洩はリスクと認識しておく必要がある」

ロジビズ・オンラインからは、海外におけるサイバーセキュリティ構築上の課題について質問した。平野主任研究員は「ウクライナ侵攻を受けてロシアから各国の企業が撤退した際、急な出来事だったためデータや情報を残したままにせざるを得なかったケースが多発した。地政学的リスクのある国で事業展開している組織は今後、緊急撤退時の情報セキュリティが、非常に大きな課題となるのではないか」と語った。

（石原達也）