新型コロナウイルスによる社会経済活動の変容やデジタルトランスフォーメーション(DX)の進展等に伴い、取引先や海外子会社等のサプライチェーンを経由したサイバー攻撃が増加している。企業もサプライチェーンのセキュリティ強化策をめぐる現状や課題、個別の取り組み事例等について、より具体的に理解を深める必要がある。
こうした認識のもと、経団連は8月26日、サイバーセキュリティ委員会サイバーセキュリティ強化ワーキング・グループ(和田昭弘主査)をオンラインで開催した。サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)(注)中小企業対策強化ワーキング・グループ座長で神戸大学大学院工学研究科教授の森井昌克氏から、サプライチェーンにおけるサイバー攻撃の現状や対策等について説明を聴いた。概要は次のとおり。
■ サプライチェーンにおけるサイバー攻撃の現状と対策
2018年、大阪商工会議所等が中小企業30社を対象に調査を実施したところ、全社で不正な通信が検知されたばかりか、一部の企業は高度なサイバー攻撃を受けるなど、水面下で常にサイバー攻撃のリスクにさらされている中小企業の実態が明らかとなった。
この主な原因は、システムやソフトウエアが脆弱であること、セキュリティに関する社内教育が行き届いていないことなどである。例えば、被害に遭う企業の多くは、ソフトウエアのアップデートやウイルス対策ソフトの導入、パスワードの適切な管理など、基本的なセキュリティ対策ができていない。
そこで、取り得るセキュリティ対策として、自社の情報資産を洗い出し、その重要度を設定したうえでサイバーリスクを定量化する「可視化」が挙げられる。また、ネットワークにおけるすべてのアクセスを疑うことを前提に、最悪のケースを想定して被害を最小化する「ゼロトラストセキュリティ」の考え方のもと、あらゆる通信を無条件に信頼せず、可能な限り検証することが有効である。
■ SC3による中小企業のセキュリティ対策支援
SC3では、中小企業が経営資源を効率的に活用して、セキュリティ対策を可能な限り行えるよう、「サイバーセキュリティお助け隊サービス制度」の利用を推進している。同制度は経済産業省のIT導入補助金の対象になっており、サイバー攻撃を受けた際の相談窓口や対応支援、簡易サイバー保険等、サイバーセキュリティ関連商品・サービスをワンパッケージで中小企業に低価格で提供している。22年8月8日現在、18のサービスがお助け隊リストに登録されており、引き続きサービスを拡充していく予定である。
中小企業を含むサプライチェーンがサイバー攻撃の標的となるなか、いまやサイバーセキュリティリスクは経営を揺るがすリスクと言っても過言ではない。同制度等を有効に活用しつつ、今後とも産業界が一丸となってセキュリティ強化に努めていく必要がある。
(注)中小企業を含むサプライチェーン全体で、産業界が一体となってサイバーセキュリティ対策の推進運動を進めていくことを目的に、20年11月1日に設立されたプラットフォーム
【産業技術本部】