サイバー犯罪が増加するにつれ、多くの企業がベンダーやビジネス パートナーから渡されるウイルスやマルウェアの被害に遭っています。
これまで、この問題に対処する明確な戦略は存在しませんでした。しかし現在、企業のサプライチェーンにおけるセキュリティ上の「弱点」を特定するのに役立つ、新たなサードパーティによるリスク評価戦略、サービス、ツールが登場しています。
今こそ彼らに投資すべき時でしょうか?
サプライチェーンベンダーがセキュリティリスクをもたらす理由
2021年、サイバーセキュリティプロバイダーのBlueVoyantは、調査対象となった組織の98%がサプライチェーンのセキュリティ侵害の影響を受けたと報告しました。また、2022年には、最高情報責任者(CIO)1,000人を対象に世界規模で実施した調査で、回答者の82%が自社のサプライチェーンを標的としたサイバー攻撃に対して脆弱であると回答しました。
参照:Microsoft はサプライチェーンの問題を回避できるよう支援します (TechRepublic)
これらの統計と懸念には多くの理由があります。最も顕著なものは次のとおりです。
- 企業のサプライチェーンの規模は膨大で、1つの企業に数十万ものサプライヤーが含まれることもあります。
- 国ごとに異なるサイバーセキュリティ要件
- 健全なサイバーセキュリティ対策に対するサプライヤーの準備、意識、リソースの不足
- 購買部門などの部門ではサプライヤーのセキュリティに対する認識が不足しており、企業との取引を行うためのセキュリティ要件を規定していないサプライヤーへの提案依頼書(RFP)が発行されることがよくあります。
サプライヤーのセキュリティ侵害を最小限に抑えるために、どのようなリスク管理手順を積極的に実行できますか?
サプライチェーンのセキュリティ強化のためのポリシー強化
サプライチェーンを安全に確保するには、まずサプライヤー監査から始める必要があります。最もリスクの高いサプライヤーは誰でしょうか?そのサプライヤーは、事業が破綻したり混乱したりした場合に、貴社にとって代替が困難なミッションクリティカルな部品を供給しているでしょうか?
サプライヤーのRFPにセキュリティを組み込む
購買部門など、サプライヤーにRFPを発行する企業部門は、発注する部品の種類、品質、納期に重点を置いています。セキュリティに関する事項がRFPに全く記載されていない可能性もあり、今こそその考え方を変えるべきです。
企業は、サプライヤーとの取引条件としてセキュリティ対策を強く求めるべきです。セキュリティ要件を満たすリソースを持たない、ミッションクリティカルなサプライヤーが存在する場合は、企業がそのサプライヤーのセキュリティ遵守を支援できる計画を策定する必要があります。また、改善が確実に行われていることを確認するために、サプライヤーのセキュリティ監査を毎年実施する必要があります。
組織内のサプライチェーンリスク管理の意識を高める
IT部門は常にセキュリティに関わっているため、CEOを含む他の経営幹部も同様のセキュリティ意識を持っていると考えがちですが、必ずしもそうではありません。
CIOは、取締役会だけでなく、他の経営幹部とも積極的に面談を行うべきです。その目的は、堅牢なセキュリティの実装と、それをサポート・維持するために必要な資金投資について、全員が十分に理解していることを確認することです。
毎年、企業のセキュリティとリスク管理に関する「現状」プレゼンテーションを取締役会と経営幹部レベルに提供する必要があります。
サプライチェーンセキュリティツールの実装
プロバイダー、部門、リーダーに教育を提供することに加えて、IT 部門はソフトウェアを使用してサプライ チェーンのセキュリティを向上させることもできます。
ベンダー評価のためのソフトウェアフレームワーク
サプライヤー向けのセキュリティアンケートを作成する際にカスタマイズ可能なセキュリティアンケートテンプレートを提供する商用ソフトウェアも利用可能です。これらのアンケートからの入力により、最もリスクの高いセキュリティサプライヤーを特定できます。
デジタルツインサプライチェーンシミュレーション
サプライ チェーン デジタル ツイン ソフトウェアを使用すると、サプライ チェーン全体をデジタルでモデル化できるため、さまざまなサプライ チェーンのリスク シナリオをシミュレートできます。
人工知能(AI)
企業はAIを活用してサプライチェーンのルートを計画し、悪天候、自然災害、さらには政治問題を予測することで、これらの潜在的な混乱要因に備えた緊急対応策を講じています。幸いなことに、こうした機能を備えた商用サプライチェーンリスク管理システムが数多く存在するため、サプライチェーンリスクAIをゼロから開発する必要はありません。
