近年サプライチェーンを狙ったサイバー攻撃が増加し、それに伴い中小企業の情報セキュリティ強化が求められています。
2024年4月、企業のサイバー対策を5段階で格付けする制度を2025年度にも開始する政策案が経済産業省より公表されました。自社の対策状況を確認し、自ら宣言する形となります。
格付けは5段階評価、レベル1~3は企業が最低限すべき対策となり、ソフトウェアの定期更新や情報の管理体制の整備などが求められる見通しです。レベル4~5はサプライチェーンで重要な位置づけとなる大手企業などが対象になります。
今後ますます情報セキュリティ強化の流れが加速していく中で、中小企業はどんな対応をしていかなければならないでしょうか。
本記事ではサプライチェーンの情報セキュリティについて解説します。
目次
1.サプライチェーンとは?
サプライチェーンとは、商品やサービスが最終的に顧客に届くまでの全体的なプロセスを指します。原材料の調達から製造、流通、販売、そして最終的な顧客サポートまでを含みます。
下請けや業務委託など、サプライチェーンには様々な企業が関係しています。
2.サプライチェーンを狙ったサイバー攻撃 -中小企業を狙った過去の被害
サイバー攻撃の手口のひとつに『サプライチェーン攻撃』があります。
サプライチェーン攻撃は、組織や企業のサプライチェーンを通じて侵入し、そのサプライヤーやパートナーを介してターゲットを攻撃する手法です。
大企業と比べ、比較的セキュリティが脆弱な中小企業を標的とするケースが近年増加しています。
関連記事:【中小企業】情報セキュリティとは?3大要素と10大脅威、基本的な対策とともに解説
サプライチェーン攻撃の目的は様々です。
サプライチェーン攻撃の目的
- 大手企業から機密情報を抜き出すために中小企業を標的に攻撃する
- サプライチェーン内の特定の脆弱性を利用し攻撃、稼働を停止せざるを得ない状況を作り身代金を要求する など
サプライチェーン攻撃の件数は年々増加しており、IPA(独立行政法人情報処理推進機構)から毎年発表されている『情報セキュリティの10大脅威2024』でも2位にランクインしています。
出典:IPA『情報セキュリティ10大脅威 2024』を基に作成
一度攻撃を受けると自社だけでなくグループ全体の損失が発生してしまう場合もあります。
サプライチェーン攻撃による過去の被害についてご紹介します。
サプライチェーン攻撃による過去の被害
- 2019年、A協会が新システム開発の委託先であるB会社の再委託先であるC会社の作業中に不正なアクセスを受け、数十万人の登録情報がデータベースから削除される事態が発生した。
- 2019年、D会社が利用するウイルス対策システムのセキュリティーパッチ公開前の脆弱性を突いた第三者の不正アクセスが原因で、過去数年分の採用応募者データなどが消失した。
- 2022年、大手自動車メーカーEの部品を製造するF社がサイバー攻撃を受けグループの全工場の稼働を停止せざるを得なくなった。
このように大企業への足掛かりとして、中小企業を標的にするケースが年々拡大しています。
取引先の信用を失うだけでなく、復旧のために多額の費用が発生します。もし被害に遭ってしまったらどれだけの損害が発生するのでしょうか。
3.中小企業がサイバー攻撃を受けた場合の被害金額予測
JNSA(特定非営利法人 日本ネットワークセキュリティ協会)から『インシデント損害額調査レポート 第2版』が2024年2月に公開されました。
『インシデント損害額調査レポート』は調査研究部会インシデント被害調査ワーキンググループとして2021年に初版が公開され、経営者やシステム担当者等を対象にサイバー攻撃を受けると多額の費用がかかり経営に多大な影響を及ぼすこと、セキュリティ対策の必要性を理解してもらうことを目的に作成されています。
出典:JNSA『インシデント損害額調査レポート 第2版』
費用損害の欄を見てみると、事故原因・被害範囲調査費用だけでも300~400万、システム復旧や再発防止対策にも数百万もの費用が発生する予測となっています。さらに取引先や顧客に謝罪が必要な場合は様々な費用が発生します。
費用損害とは別に賠償損害が発生するケースもあります。委託先から預かった情報漏えい事案の場合、費用損害の総額が委託先から求償されるケースもあり、弁護士費用も損害賠償金に比例して高額になります。
その他稼働停止による利益損害や金銭損害、罰金などの行政損害や顧客離れなどの無形損害も。ケースバイケースではありますが、中小企業の場合数千万単位、場合によっては数億円単位の損失が発生する恐れがあります。
経営に大きな影響があることは間違いありません。
サプライチェーン攻撃の被害から会社を守るために、私たちはどんな対策を取っていかなければならないでしょうか。
4.対策 中小企業の経営者が認識すべき3原則、実行すべき重要7項目
IPAより中小企業向けの情報セキュリティガイドラインとして『中小企業の情報セキュリティ対策ガイドライン第3.1版』が公開されています。
今回は中小企業の経営者が認識すべき3原則、実行すべき重要7項目の取組についてご紹介します。
認識すべき3原則
- 情報セキュリティ対策は経営者のリーダーシップで進める
経営者は情報セキュリティの重要性について認識し、自らリーダーシップを発揮して対策を進めましょう。 - 委託先の情報セキュリティ対策まで考慮する
委託先に提供した情報が漏えいしたり改ざんされたとき、それが委託先の不備だったとしても委託元として管理責任を問われることになります。そのため委託先にも自社と同等にセキュリティ対策について注意する必要があります。受託している場合は委託元の要求に応じる必要があります。 - 関係者とは常に情報セキュリティに関するコミュニケーションをとる
顧客、取引先、委託先、代理店、利用者、株主などからの信頼を高めるには、普段から自社の情報セキュリティ対策について理解し常に情報セキュリティに関するコミュニケーションを取りましょう。事故が起きた時にしっかりと対応できるよう備えておくことが重要です。
実行すべき重要7項目
- 情報セキュリティに関する組織全体の対応方針を定める
自社に適した情報セキュリティに関する基本方針を定め、宣言します。自社の経営において最も懸念される事態は何かを明確にすることで具体的な対策を促し、組織としての方針が立てやすくなります。 - 情報セキュリティ対策のための予算や人材などを確保する
情報セキュリティ対策を実施するために、必要な予算と担当者を確保します。専門的な外部サービスの利用も検討するなど、発生対策だけでなく万が一事故が起きてしまった場合の被害拡大防止や復旧対応についても備えましょう。 - 必要と考えられる施策を検討させて実行を指示する
懸念される事態に関連する情報や業務を整理し、損害を受ける可能性(リスク)を把握したうえで、責任者・担当者に対策を検討させます。必要な対策は実行し、社内ルールとして文書にまとめることで社員も実行しやすくなり、取引先に説明する際にも役立ちます。定期的に進捗や効果も確認しましょう。 - 情報セキュリティ対策に関する適宜の見直しを指示する
3で実行した対策について、1で定めた方針に沿って実行しているか点検し評価します。状況に合わせて基本方針なども適宜見直しを行い、対策の追加や改善などを行いましょう。 - 緊急時の対応や復旧のための体制を整備する
万が一に備えて、緊急時の対応体制を整備します。サイバー攻撃の被害に遭ってしまった場合、原因究明や被害拡大防止体制を作るとともに、的確な復旧手順をあらかじめ作成しておくことで緊急時に適切な指示を出すことができます。 - 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
外部に委託する場合、委託先で少なくとも自社と同等の対策が行われているようにしなければなりません。そのためには契約書に情報セキュリティに関する委託先の責任や実施すべき対策を明記し合意する必要があります。 - 情報セキュリティに関する最新動向を収集する
サイバー攻撃の手口は年々巧妙になっています。最新動向を発信している公的機関などを把握しておき、常時参照するよう担当者に指示します。社内だけでなく取引先、委託先などと情報共有しましょう。
参考:IPA『中小企業の情報セキュリティ対策ガイドライン第3.1版』
サイバー攻撃から自社を守るためには、経営者自らが情報セキュリティについて理解を深め行動していくことが重要です。
『ウイルス対策ソフトを導入しているから大丈夫』と考える方は多いと思いますが、実はそれだけでは十分とは言えません。ウイルス対策ソフトで検知できるウイルスは既知のものだけになり、検知できないウイルスも存在します。
大切な情報を守るために、自社に適した情報セキュリティをしっかりと実行していきましょう。
5.まとめ
サプライチェーンを狙ったサイバー攻撃は年々増加し、それに伴い中小企業に求められる情報セキュリティも高まっています。
今後、自社の情報セキュリティの対策レベルを宣言しなければ大手企業との取引は難しくなっていく流れになっていくと予測され、経営者としては今の段階から備えて取り組んでいく必要があるでしょう。
GDXオフィスラボでは自社の情報セキュリティ関するご相談も受け付けています。
是非お気軽にお問合せ下さいませ。
ライター紹介
■株式会社アベヤス 佐々木 葵
農業機械業界、移動体通信業界を経て2024年に株式会社アベヤスに入社しました!
広報歴は合計3年程になります。
ゆるキャラの中の人としてSNSを運用したり、社内報を作っておりました。
GDXオフィスラボからオフィスの空間づくりに役立つ情報をどんどん発信してまいります!
★☆GDXオフィスラボ公開中!☆★
現在岩手県の多くの中小企業が人材確保の課題を抱えている中で、
ESG経営の推進は欠かすことのできないポイントになってきております。
GDXオフィスラボは、人材課題を解決する糸口となるよう、
最先端技術や社員が働きやすい空間を体験、体感が出来る場所としてショールーム&コワーキングスペースを公開しています。
最新技術を使用した快適なオフィス空間づくりや環境への取り組み、
次世代の「働くの見える化」を追求したデジタルツールやシステムを
GDXオフィスラボへぜひ体感しにいらっしゃいませんか
岩手でオフィスのリノベーションをお考えの方、
店舗の移転や改装をお考えの方は是非お気軽にお問合せ下さい。