マンスリーレビュー

2021年9月号トピックス2防災・リスクマネジメントテクノロジー

デジタル時代のサプライチェーン・セキュリティ

2021.9.1

デジタル・イノベーション本部石黒 正揮

防災・リスクマネジメント

POINT

  • サプライチェーンの中小企業を狙ったセキュリティ脅威が拡大。
  • 取引相手に対するセキュリティの説明責任が重視される時代に。
  • エビデンスに基づき説明するための共通言語が必要となる。

サプライチェーン・セキュリティ脅威の拡大

さまざまな企業から成るサプライチェーンを構築することにより、個社単独では実現が難しい製品・サービスのイノベーションや開発スピードの向上を図り、競争力を高める企業が増加している。

そのようなサプライチェーン構築の進展に伴い、外部からのサイバー攻撃に対する防御力が比較的低く、弱点となる中小企業を狙った攻撃が増大している※1。不正な情報を発信する機能の埋め込みや、偽装品などによる脅威も高まっている※2

説明責任を果たすことが重視される時代に

米国では、セキュリティ対策の説明責任を果たせない企業をサプライチェーンから排除する動きが出ている。例えば、全世界の企業を対象として米国防総省の調達において納入される製品・技術は、米国技術標準NIST SP800-171の条件を満たすことが要件化された。また、サイバーセキュリティ上の懸念を理由に、中国企業5社が製造する通信機器の調達を禁じる国防権限法が2018年8月に可決され施行に至っている。

さらに、サプライチェーン構築が進展したこれからの時代は、従来のようにセキュリティを強化するだけではなく、取引企業に対する説明責任を十分に果たさなければ、信頼を得られない。そのためには、セキュリティ基準を明確化した上で、検証結果などの客観的なエビデンスに基づき体系的に説明する取り組み(セキュリティ・アシュアランス)が求められよう。

アシュアランスのための体系整備が必要

ただし、対象分野に応じて脅威のリスクは異なる。基準を明確化するため業界ごとにセキュリティ基準を策定する、または、汎用的な基準をカスタマイズすることが求められる。説明責任を果たすべく、安全対策(機能安全)の分野で要件化される説明文書を参考に、グローバルに受け入れられる説明方法を体系化する共通言語が必要である。

こうした共通言語づくりの具体策としては、満たすべき基準に対して、検証結果など客観的なエビデンスに基づき論理的な説明を与える文書「アシュアランス・ケース」のモデル事例のテンプレートを整備することなどが挙げられる。また、それらの説明文書に対して、独立した認証機関などが評価を加えることも有効である。

近年、人身への悪影響を防止する安全性と、外部からの意図的な攻撃を防ぐセキュリティの両方における説明責任を求められる分野は、産業プラントや自動車など多岐にわたっている。ただし、両方を同時に評価するプロセスは確立されていないため、重複した活動により負担が増大することが懸念されている。

安全性とセキュリティ両方の対策を効率化するためには、リスク分析手法や対策プロセスの統合化が求められる。その方策として、両分野のエキスパートによる連携や、国際電気標準会議(IEC)による工業用プロセス制御(TC65)などに関する国際標準化の推進が重要である。

※1:経済産業省「昨今の産業を巡るサイバーセキュリティに係る状況の認識と今後の取組の方向性について」(2020年6月)。

※2:"Managing Risk in Globalized Supply Chains", RAND Corporation, 2021

バックナンバー