中小企業のサプライチェーンリスクとは?事例や対策方法について紹介

2022.09.23

サプライチェーンリスクが発生した場合は企業での活動において深刻な被害につながる可能性があります。そのため事前に出来る限りの対策をすることが重要です。しかしサプライチェーンリスクは年々複雑化しており、サプライチェーンリスクへの対応を十分にできていない企業は少なくありません。

そこでサプライチェーンリスクとはどのようなものなのか、また実際にどのような危険性があるのかなど事例を含めて理解する必要があります。

サプライチェーンリスクとは

サプライチェーンリスクとは、災害や事故を要因とした商品やサービスの供給が止まってしまう事態に繋がることをいいます。サプライチェーンリスクには原材料の調達や物流、販売などが含まれます。

サプライチェーンが影響を受け得る代表的なリスクとしては自然災害やパンデミックに代表される環境的 リスク、テロや政治的な不安などの地政学的リスク、 経済危機や原料の価格変動といった経済的リスク、サ イバー攻撃やシステム障害などの技術的リスクといっ た様々なリスクがあります。

自然災害や情報漏洩、サイバー攻撃、需要の急激な変動、配達の遅延といった企業にとって大きな被害につながるリスクは多岐に渡ります。


こうしたリスクを事前に回避する為には、リスク管理プロセス(リスクアセスメント・リスクコントロール)が不可欠であり、そのプロセスではリスク評価のための情報も収集されます。このリスク評価を行う為に必要な情報は「財務状況」「顧客情報」「取引記録」など多岐に渡ります。

また、このリスク評価の結果によってはサプライチェーンの脆弱性が指摘されることもあります。そうなると最悪倒産に繋がってしまう可能性もあるのです。

サプライチェーンリスクを管理する上で必要なことは、リスクの評価から対策の実施までの流れを把握することです。

まず最初に行わなければいけないことはリスクの評価です。リスクの分類には大きく分けて3種類あります。

1.組織・事業への直接的な被害をもたらすリスク

例えば、取引先とのトラブルや、製品の欠陥によるリコール、大規模な設備投資の失敗などが挙げられます。

2.事業活動への悪影響

例えば、地震、洪水、津波などによる被災、工場の火災、食中毒などの生産物に関わる問題、労働争議、製品の販売不振などが挙げられます。

3.間接的な影響

例えば、不作や悪天候、貿易摩擦などにより、企業の収益が悪化することや、風評被害を受けることなどが挙げられます。

次のステップとしてリスクの発生率を知る必要があります。リスクの発生確率を知ることで、発生してしまった場合にどれだけの被害が出るか予測できますし、発生した場合のリスク軽減策を考えることができます。

リスクの発生確率は以下の5つで分類します。

1.偶発性(自然現象):突発的に発生することの多いもの。地震、落雷、台風、噴火など

2.人為性(人的ミス):意図して引き起こされた事象

3.偶然性(偶発性):偶発的に起こることの多いもの。交通事故、火事、水難事故など

4.社会的要因:社会情勢の変化により起こりやすいもの

5.政策的要因:政治体制の変更等により起こりやすいもの 


それぞれ分類したリスクに対して、それぞれリスク対策をする必要があります。例えば、自然現象に対しては次の2つの資料を活用することが重要です。

  • ハザードマップの作成 ある地域で災害が起こった際に、どの程度の被害が発生するかを地図上に示したもの。
  • 地震防災ガイドライン 日本に住んでいる人が受けるであろう揺れの強さを分かりやすく表した図。


ハザードマップの作成自然災害による被害の大きさは、地域ごとに異なります。その為、各自治体はその地域に起こりうる災害の規模を予め把握しておく必要があるのです。この災害規模の算出方法はいくつかあり、代表的なものとしては震度7以上の大地震と死者・行方不明者数1000人以上という2つがあります。

地震防災ガイドラインは、日本に住む人が受けるべき揺れの強さを、地震学者や土木建築の専門家らがまとめたものです。この「地震防災ガイドライン」に基づいて、各地域における地震発生時の被害想定が行われています。

日本における耐震基準は震度5強から震度6弱までとなっています。しかし、東日本大震災の後に策定された「新耐震設計法」以降に建てられた建物は、震度7程度の大きな地震でも倒壊しないとされています。また、2020年に予定されていた東京オリンピックに向けて、老朽化した建築物の建て替えが進んでいました。

これにより2020年のオリンピック開催期間中には震度7レベルの地震が来ても建物自体が崩れ落ちる可能性は低くなっています。

サプライチェーンのリスク一覧

サプライチェーンリスクには次のような例が挙げられます。

  • 委託先企業の脆弱性が狙われる
  • ソフトウェアサプライチェーン攻撃
  • 委託先情報攻撃型

委託先企業の脆弱性が狙われる

決済システムや顧客管理などのシステム運用は、委託先の企業に任せているケースが多くみられます。しかし、委託先企業においてセキュリティやシステムの脆弱性が狙われるケースが多くあります。そのため、委託先の企業を選ぶとき、セキュリティ対策が十分であるかどうか、外部攻撃に対してどのような対処ができるのかを把握することが重要です。

自社のシステムに不正アクセスなどがあった場合もありますが、委託先企業が狙われるケースは決して少なくありません。

ソフトウェアサプライチェーン攻撃

ソフトウェアサプライチェーンとは、ライブラリ、オープンソースにおけるバイナリ、プラグインなどが構成されている仕組みです。年々複雑化しており、サプライチェーンリスクに対する懸念点があがっています。

ソフトウェアサプライチェーンに対してのサイバー攻撃が近年増えています。SolarWinds 社やKaseya 社など2021年だけでも大きな話題になった企業が多くあります。SolarWindsの場合は、プラットフォームユーザーが攻撃的なコードが含まれた更新プログラムをダウンロードしたことで、バックドアを作成するものでした。

バックドアを通して、システムやプライベートネットワークに不正アクセスをすることができるようになり情報漏洩につながりました。

委託先情報攻撃型

近年委託先による情報漏洩事件が多発しています。そのため、委託先の調査や選定、契約内容においてセキュリティに関する内容を取りこむ、責任範囲を明確にするなどの徹底した管理が重要になっています。

特にクレジットカードを始めとした決済システムや、顧客管理を委託するケースが多く、委託先が攻撃されると情報漏洩のリスクが大きくなります。委託元が大企業でセキュリティ対策が十分であっても、委託先が狙われてしまうケースは決して少なくありません。

サプライチェーン攻撃の事例

サプライチェーン攻撃の事例を2つご紹介します。

  • ロッキード・マーティンの事例
  • 男子プロスポーツ法人の事例

ロッキード・マーティンの事例

ロッキードマーティン社は航空機や宇宙船を開発している企業であり、世界で最も需要のある軍需企業です。そのため、高いセキュリティ対策がされていたはずです。しかし、攻撃者が狙ったのは、ロッキードマーティン社ではなくセキュリティ企業であるRSA Securityの方です。

RSA Securityの従業員に個人的に攻撃メールを送り、従業員が添付ファイルを開いてしまったために侵入しやすくなるバックドアが形成されてしまいました。セキュリティ会社であっても、このような人為的なミスをしたことによりおおきな被害に繋がってしまった例です。

攻撃者は、ロッキード・マーティン社を狙うため、セキュリティ企業であるRSA Security社の従業員宛てに標的型攻撃メールを送付。従業員が添付のExcel をクリックすることでバックドアが作成され、そこから侵入した攻撃者は、より権限の高いアカウント情報を収集。最終的にターゲットサーバから窃取した「Secure ID」を使ってロッキード・マーティン社への不正アクセスを可能にしました。

引用:中小企業こそ意識したい!サプライチェーン攻撃のリスクと対策(PFU)

男子プロスポーツ法人の事例

国内のある男子プロスポーツ法人において、クレジットカード情報などの個人情報が流出したケースです。委託先企業がサーバーやデータの管理運用を任されており、WEBサーバの脆弱性が標的となった事例です。

参考:中小企業こそ意識したい!サプライチェーン攻撃のリスクと対策(PFU)

中小企業がとるべきサプライチェーンリスク軽減に向けた3つの対策

中小企業がとるべきサプライチェーンリスク軽減のためには次の対策が重要です。

  • BCP(事業計画書)の策定        
  • 調達先や拠点の分散化・多様化        
  • サプライヤーとの連携強化

1.BCP(事業計画書)の策定 

BCPとは企業が、自然災害や外部攻撃などの緊急事態にあった場合において、事業資産の損害を少しでも抑えるための活動や方法などを決めておく計画です。突然に発生するため、発生後に対応していては間に合いません。特に情報が流出した場合は放置していると、だんだんと状況が悪化します。特に中小企業は経営基盤が脆弱であることから、サプライチェーンリスクが原因で廃業につながる可能性もあります。

中小企業庁においても、BCPの設定を推進しています。

BCP(事業継続計画)とは、企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のことです。

引用:1.1 BCP(事業継続計画)とは(中小企業庁)       

2.調達先や拠点の分散化・多様化        

調達先や拠点が1つしかない場合は、自然災害などがあった場合大きな被害となり、業務が完全に止まってしまいます。しかし、調達先や拠点が複数あれば1つに被害があった場合でも他で代用することができます。

もし国内以外に国外にもグローバルサプライチェーンがある場合は、複数の国に拠点を設定することも重要です。自然災害や政治関連の問題などで調達が途切れてしまっても、他の国で代用することが必要です。

リスクがあるといわれるテレワークも、社員が出勤する必要がない点でいればリスク分散になります。例えば大きな台風があり会社までいけない場合でも、業務をすべて止める必要はありません。このように、1つの手段に頼るのではなく複数の調達先や拠点などを構えておくのが重要です。

3.サプライヤーとの連携強化 

自然災害やそのほかのトラブルがあった場合どのように対処するのかが重要になります。そこで、普段からサプライヤーとの連携を強化しておくことが重要です。どれだけ準備をしていても、サプライチェーンリスクを100%回避することはできません。そのため、サプライヤーとの連携が十分であれば対処できる内容が異なってきます。

サプライチェーンや取引先は効率的に管理をすることで、リスクを常に可視化することが重要です。サプライヤーと連携を強化しておくことで、リアルタイムで有益な情報を入手できます。もし1つのサプライヤーが必要な材料の供給が出来なくなっても、類似品を提供できるサプライヤーを確保することも重要です。

まとめ

サプライヤーとの連携強化や、調達先の分散化などを効率的にするためには一元管理が必要です。それぞれの担当のみが情報を把握している状態では、万が一の時に対応が遅れてしまいます。

リスクを抑えるためには、まずすべての情報を一元管理できることから始める必要があります。サプライチェーンリスクは突然起こることが多く、普段から十分な準備をしておくことが重要です。特に中小企業は廃業につながるケースがあるため、運営するための重要な課題となります。

【セキュリティソリューションのご紹介】

Librus株式会社では企業のサイバー攻撃被害に備え、毎月10万円でホワイトハッカー、弁護士、ブランドコンサルタントをまとめてアサインできる 「セキュアナイト」というサービスを提供しております。
https://secureknight.jp/

またサイバーセキュリティに関するアドバイザリーやセキュリティ診断(脆弱性診断、侵入テスト)、デジタルフォレンジック(システム復旧支援中心)においても豊富な実績がございます。

ご相談は無料ですので、いつでもお気軽にお問い合わせください。


問い合わせフォーム
https://librus.co.jp/contact

メール
info@librus.jp

資料請求
https://tayori.com/form/bcca83c49d8fd253395a909cb8cfcb899d32af72/

VIEW ALL
© 2020 LIBRUS Co., Ltd All rights Reserved .