サプライチェーンにおけるサイバーセキュリティ対策

サプライチェーンにおけるリスク

近年、サイバー攻撃は単なる企業内の問題にとどまらず、サプライチェーン全体に深刻な影響を及ぼすケースが急増しています。その特徴は、標的となった企業だけでなく、その企業と取引関係を持つ複数の組織に連鎖的な被害をもたらす点にあります。

まず、攻撃を受けた企業では業務停止や情報漏えい等の被害が想定されます。受注・出荷業務が停止することで、物流が完全に麻痺します。すると、攻撃対象企業に生産や配送を委託していた発注元企業も影響を受け、製品供給が滞ることで事業停止や納期遅延が発生します。場合によっては、委託先のシステムを通じて情報が流出し、取引先の機密情報が漏れる可能性もあります。

また、供給不足を補うために代替商品の需要が急増し、同業他社の生産・販売・出荷体制にも負荷がかかります。結果として業界全体で在庫不足や価格変動が起こり、消費者への影響も避けられません。

このように、サイバー攻撃は一社の問題にとどまらず、取引先や同業他社、更には消費者まで巻き込む広範なリスクを伴います。事業継続を確保するためには、サプライチェーン全体を視野に入れた包括的なセキュリティ対策が不可欠です。

サプライチェーン（企業や組織のつながり）

以下の図は、企業や組織のつながりと、サイバー攻撃がそのネットワークに与える影響を示しています。

組織内では、本社を中心にグループ会社や工場、海外拠点でグループ間ネットワークが構成され、会計システム、人事システム、在庫管理システムなどの社内システムが連動しています。

組織外では、サプライヤーと同業他社との間で企業間ネットワークが構成され、調達システム、共同配送などで連携しています。またECサイトやPOSシステム、SNSを通じて販売者、消費者とも接続されています。

このように、複数のシステムや企業が密接に結びつき、情報・物流・発注管理がネットワーク上で一体化していることがわかります。

サイバー攻撃によるサプライチェーンの影響範囲

こうした密接なつながりがあるため、1つの拠点やシステムが攻撃されると、影響は広範囲に及びます。

例えば本社がサイバー攻撃の被害にあった場合、直接的な影響範囲としては本社の情報、生産管理システムの停止のみになります。

ですが間接的な影響は広範囲に及び、決算発表の遅延が発生しグループ会社やステークホルダーに影響が及ぶ可能性もあります。また、自組織以外への影響としては、生産管理ができず供給者に影響が出る、共同配送をしていた同業他社でも配送ができなくなる、供給遅延や在庫不足による販売者・消費者の販売機会の損失などが考えられます。

重要なポイントは、自社で対策をしていても、他システムや取引先を経由して影響を受ける可能性があるということです。

対策をしていても他システム経由での侵入や他社からの影響を受ける可能性がある​​​

なぜ復旧まで時間を要するのか？

サイバー攻撃を受けた企業で復旧に時間がかかる理由として、次のような要因が考えられます。

• バックアップの整合性不足：販売・会計・在庫などのシステムがERP環境で複雑に連動しているため、単純なデータ復元では不十分で、部分的な復旧では業務を再開できません。
• 暗号化による利用不能：攻撃者がバックアップ自体を暗号化するケースがあり、オンライン接続中のバックアップも同時に攻撃される可能性があります。
• 復旧に時間がかかる構造：システムやネットワーク構造によっては、容量が大きくリストアに数週間以上を要したり、周辺システムとの整合性確認が必須になります。
• DR体制の不足：遠隔地のDRサイトや切替訓練が不十分で、迅速な立ち上げが難しくなります。

結論として、インシデント発生時に迅速な復旧を実現するためには、安全な隔離バックアップの確保と定期的なリストア演習の実施により、被害時でも業務継続を可能にする体制構築が不可欠です。

安全な隔離バックアップと定期的なリストア演習を行い、被害の局所化と業務継続を可能にする体制の構築が必要

実施すべきサプライチェーンリスクへの対策

サプライチェーンリスクへの対策では、直接的な影響範囲と間接的な影響範囲の両方を考慮することが重要です。
例として、次のような対策が求められます。

• ポリシー整備（サプライチェーンリスクに関するルール策定、セキュリティ要件を明記した上での契約締結）
• 事業継続計画（BCP）策定（BCP共有、代替サプライヤの確保）
• サプライヤーのセキュリティ評価（取引先及び依存関係の整理、認証基準を使用した評価の実施）
• サプライチェーン全体のリスクアセスメント（サプライチェーンで想定される脅威でのリスク分析、サプライチェーンを含めた影響度や発生可能性の分析）

これらを組み合わせることで、システム間や企業間の結びつきを考慮した包括的な対策が可能になります。

経産省による「サプライチェーン強化に向けたセキュリティ対策評価制度」

経済産業省は、サプライチェーン企業のセキュリティ対策を強化するため、2026年の運用開始に向け『サプライチェーン強化に向けたセキュリティ対策評価制度』の構築を進めています。

要求項目の案には、ポリシー策定、取引先管理、リスクアセスメント、インシデント復旧計画の実行などが含まれます。各項目を★3～★5に区分することで、発注企業が受注側へどの程度の対策を求めるかを明確に示せるようになっています。

この制度は、業種横断的に活用できる評価枠組みを整備し、企業のセキュリティ対策レベルを可視化することで、取引先や委託先とのリスク共有を容易にします。

サプライチェーンの中での立ち位置に応じて必要な対策を提示することで、企業の対策決定を容易・適切なものにし、サプライチェーン全体のセキュリティ強化が見込まれます。

出典：経済産業省　第1回 産業サイバーセキュリティ研究会 ワーキンググループ1（サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ）
『資料4：サプライチェーン強化に向けたセキュリティ・アーキテクチャの検討』
（https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/pdf/001_04_00.pdf）

セキュリティ対策のパートナーとして

近年、サイバー攻撃による被害は急増しており、企業の物流や生産システムが停止し、サプライチェーン全体に深刻な影響を及ぼす事例が相次いでいます。
攻撃は単一のシステムにとどまらず、複数のシステムや企業間ネットワークを介して連鎖的に広がるため、従来の境界防御だけでは不十分です。
こうしたリスクに対し、横河デジタルは自社工場で培った経験と実績を活かし、システム間および企業間の結びつきを考慮した包括的なセキュリティソリューションをご提案します。
セキュリティ対策の強化をご検討中の企業様は、ぜひお気軽にお問い合わせください。

※本文中に記載されている製品名、サービス名等は、各社および各団体の登録商標または商標です。