長期化・深刻化するサプライチェーン攻撃
IPAの10大脅威にサプライチェーンを利用したサイバー攻撃が初めて登場したのは2019年。現在までトップ10を外れることはなく、企業にとってランサムウェア攻撃と並ぶセキュリティ対策の主要課題のひとつになっている。
IT化が進む現代の企業システムにおいて、取引先やグループ企業で伝票の印刷ができなくなるだけでも、営業活動や製造業務のすべてが止まることがある。サプライチェーン攻撃は、そんな企業の弱点を狙う攻撃だ。防御が薄いところから攻めるのは攻撃のセオリーである。セキュリティ対策が十分でないチェーン末端の中小企業に侵入できれば、取引先の大企業や親会社への侵入につなげることができる。仮に、攻撃者の意図が親会社やサプライチェーン全体を麻痺させることではなくても、結果的にサプライチェーンに大きな損害を与えることも可能だ。ランサムウェア攻撃の場合、この副作用が脅迫効果を高めることになる。
サプライチェーン攻撃の対策では、セキュリティ対策レベルをチェーン全体で高い方に合わせなければならない。大企業や親会社は、取引先や子会社にも自社と同等の対策を取らせる必要があるが、チェーン末端の中小企業まで大企業並みの対策を導入するのは、コストや人材など複数の問題によって簡単ではない。
特殊な対策は必要なく、地道に基本的な対策を積み上げていくしかないが、予算やリソースの問題により、ビジネスシーンにおいて、これがいちばん難しいセキュリティ課題となっている。
SCS制度は成熟度の可視化であってランク付けではない
「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」は、この状況に対する取り組みのひとつとして考えられている。一部の報道やネット上の情報には「サプライチェーンのセキュリティレベルをランク付けし、契約や取引の基準・条件とする」といった主旨のものが見受けられる。
この解釈は正確ではなく、発注元やセキュリティベンダーなどに恣意的に利用される危険がある。公表された文書の制度主旨は以下のように書かれている。
・本制度に基づくマークの取得を通じて、ビジネス・ITサービスサプライチェーンにおける、取引先へのサイバー攻撃を起因とした情報セキュリティリスク/製品・サービスの提供途絶や取引ネットワークを通じた不正侵入等のリスクに対する適切なセキュリティ対策の実施を促し、サプライチェーン全体でのセキュリティ対策水準の向上を図る。
・具体的には、2社間の取引契約等において、発注企業が、受注側に適切な段階を提示し、示された対策を促すとともに実施状況を確認することを想定。
つまり、経産省および国家サイバー統括室が展開しようとしている制度(以下、本稿ではSCS制度とする)では、サプライチェーンにおける発注元は取引先(受注者)に対し、サイバー攻撃に対する適切な対策の水準を示すことで、受注側の対策を促し、それを確認することを目的とした制度となる。この取り組みによって、サプライチェーン全体の安全性を高めようとするものだ。
SCS制度を下請けへの対策丸投げにさせないために
発注側が示す「適切な段階」は、認定された事業者や専門家(第三者)が行うことになっているが、受注側が自主的に評価をすることも可能だ。
ただし、取引事業者の格付けやそれを競わせることが目的ではないと注釈が加えられている。たとえば、発注側には取引先のセキュリティ対策への価格転嫁や交渉を明文化しておく必要がある。一方的な対策の強要は、セキュリティ対策とはいえ独占禁止法の優越的地位の濫用禁止、あるいは下請法に抵触する可能性があるからだ。
この課題に対して、SCS制度では、経産省が取り組む「サイバーセキュリティお助け隊サービス」(新類型)の創設を考えている。「お助け隊サービス」は中小企業のセキュリティ対策の困りごとへの対応、対策導入支援などを行うサービスだが、これをSCSにも適用を拡大できるように支援策や人材を整備する予定だ。
発注側がSCS制度を盾に、取引先に対策を強要したり、特定製品を押し付けたり、価格転嫁や交渉を拒否できる問題が指摘されている。この懸念については、公正取引委員会および経産省が2022年に公表した「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップ構築に向けて」という通達を適用する。通達では、発注側はサプライチェーン強化のため、取引先や下請けに対する独占禁止法や下請け法の遵守を求めている。
SCS制度の建付け
評価制度の建付けは、現在のところ下図のようになっている。
この図は確定案ではない。その前提で説明を進めるが、SCS制度はIPAの中に設置される運営審議委員会と指定委員会、事務局によって構成される。サプライチェーン企業のセキュリティ対策成熟度(評価段階)は、特別な研修を受けた専門家か指定委員会が認める評価機関が行う。事務局は制度自体の運営や普及活動と、評価を受けた企業・団体の登録情報や認定証(マーク)の管理などを行う。
取得希望組織とは、発注側からセキュリティ対策状況を確認されたときにSCS制度の評価段階を利用したい受注企業や組織となる。自己評価を行い専門家のチェックを受ければ、事務局に評価結果を登録できる(★3)。さらに高度な対策、高い成熟度を提示したい、あるいはする必要がある場合は、第三者である評価機関のチェックを受けて事務局に登録することもできる(★4)。
SCS評価制度の成熟度段階(★1~5)
現在、SCS制度で検討されている評価段階は★3と★4の二段階が公表されている。★1と★2は、IPAが運営する「SECURITY ACTION」に規定されている成熟度が適用される。SCS評価制度では、この他★5という段階が検討中と規定されている。
SECURITY ACTION
★1:ソフトウェアアップデート、ウイルス対策ソフトの導入、パスワード強化など「セキュリティ5か条」を守るという宣言を行う
★2:「5分でできる!情報セキュリティ自社診断」および「情報セキュリティ基本方針」を外部に公開し、これを宣言する
SCS評価段階
★3:組織的対策・システム防御策などサプライチェーン企業が最低限実施すべき対策と専門家による確認を受けた自己評価
★4:組織ガバナンス・取引先管理・システム防御、インシデント対応などサプライチェーン企業が標準的に目指す対策と第三者評価
★5:サプライチェーン企業の到達点として目指す対策と第三者評価(※2027年度以降の導入予定。詳細検討中)
★1から★4(5)までの段階は、段階的に取得する必要はない。組織規模やプロジェクトに応じて各社が必要な評価段階を取得すればよい。★3と★4の申告基準や評価基準の具体的な要件などは、おそらくガイドラインや事例集などの情報が今後発表されるはずだ。
SCS制度への取り組み方
SCS制度は、サプライチェーンセキュリティ対策の強化を求められている中小企業らに、SECURITY ACTIONのような簡便かつわかりやすい基準と運用フレームワークを提供するもので、それ以上でもそれ以下でもない。
目的は、サプライチェーンを全体として強化することにあり、評価段階の★をクリアすることではない。SCS制度を利用して★を登録するのは、あくまで自社や取引先の成熟度を認識するためだ。最終的なゴールはサプライチェーン全体の対策や改善に生かすことにある。
この点は、ISO27000シリーズ(ISMS)や類似の認証制度と通じるものがある。勘違いしてはいけないのは、★の認定、登録をすれば安心・安全ということにはならない。これは、他の認証フレームワークにも言えることだが、ISMS認証などのバッジを取得することは、一定の基準や対策を行っている証明になるだけだ。これらを取得し、実際に対策を行っている企業でも、サイバー攻撃の被害を完全に防ぐことはできない。
繰り返しになるが、企業・組織側は、SCS制度の評価段階を競ったり、競わせたり、それを基準にしたり取引条件にするのは本末転倒である。「これなら自社でもできそうだ」と自主的に取り組むか、「サプライチェーンの末端までISMSを取得させるのは現実的ではないが、SCS制度を利用して、できるところから固めていこう」といった考え方が健全である。
そのためには、経済産業省およびIPAは、認定事業や指定事業者に無駄な権威や利権を持たせない制度設計を目指してほしい。
🔳参考:
「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))
サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて
