top of page

CSIJ公開シンポジウム​2023開催レポート

経済を止めない!サプライチェーンリスクを抑止するポイントとは?

 業種・業界・企業規模を問わずサプライチェーン上でのセキュリティインシデントが発生しており、サプライチェーン上の企業が攻撃を受けることで、サプライチェーン全体の生産活動が停止するなど深刻な影響を及ぼしている。

サプライチェーンリスクは内外情勢やDX推進などにより常に環境変化をしており、常にキャッチアップしていく必要があるが、一口にサプライチェーンといっても、各社ともにビジネスバリューを出すための差別化を行っているため、一つの評価手法ですべての組織を評価することは困難となっている。また、対応すべき人材の役割も常に変化しており、それに対応するための流動化が求められている。

2023年9月22日に開催されたCSIJ公開シンポジウムでは、この困難で複雑な課題をテーマに、日本の市場特性を考慮したサプライチェーンリスクへの対応をどのように強化していくべきかを、サイバーセキュリティ対策の最前線に携わる有識者個々の視点から議論を交わした。

​====================================

  • 開会挨拶:「サプライチェーンリスクの抑止は、ステップバイステップでの実行が重要!」

  •  基調講演:「サプライチェーンにおけるサイバーセキュリティ政策」

  •  特別講演:「JVCケンウッドが挑むサプライチェーンリスク対応のリアル」

  •  パネルディスカッション:

  •      「サプライチェーンリスクの課題と解決策を考える」

  •  閉会挨拶:「実効性のあるサイバーセキュリティ支援のためには情報の共有が重要」

​====================================

【開会挨拶】

●サプライチェーンリスクの抑止は、ステップバイステップでの実行が重要!

 冒頭の挨拶に立ったサイバーセキュリティイニシアティブジャパン(CSIJ)の中尾康二会長は、「シンポジウムのテーマであるサプライチェーンは非常に広い概念であり、どのような供給者がどのような関係にあり、それらに関係するセキュリティをどのように管理していくかということだが、ビジネスやインフラの多様性により一定な分析ができにくいという特徴がある。例えばIoTというのがいろいろな使われ方をしていて、それがサプライチェーンに関係している。そこにはどのようなリスクがあるのかなど、多様な視点で考える必要がある。」と話した。

                     [中尾会長]

 中尾会長はさらに「このシンポジウムで完全に課題が抽出できて解決策が見えてくるかは難しいと思うが、現在我々は混沌とした環境にいて、セキュリティに携わる関係者が議論をすることで、どのような問題がありどのような解決策があるのか、いくつかの切り口が見えてくるのではないかと思っている」と述べ、ある目標を見つけてステップバイステップで実行していくことが重要だ、とした。

【基調講演】

●サプライチェーンにおけるサイバーセキュリティ政策

 経済産業省は、デジタル時代においてサプライチェーンにおけるサイバーセキュリティ対策は不可欠なものであり、さまざまな側面からの取り組みが必要だと捉えている。同省商務情報政策局サイバーセキュリティ課サイバーセキュリティ戦略専門官の山田剛人氏は、「サプライチェーンにおけるサイバーセキュリティ政策」と題する基調講演の中で、そうした認識に基づいて同省が進める政策や取り組みの一部を説明し、特に深刻な課題となっているサプライチェーンにおける対策をどのように後押ししていくか道しるべを示した。

 まず山田氏から、IoT機器適合性評価制度の検討会を立ち上げたが、CSIJの中尾会長にも有識者委員として入ってもらい検討を開始したことを紹介いただいた。

 [講演資料ダウンロード ▼ ]

                     [経済産業省 山田氏]

 次に本題として、最近のサイバー攻撃の現状と課題について解説した。IPAのセキュリティ10大脅威を参照し、ランサムウェア攻撃や標的型攻撃が組織化し巧妙となってきていることや、犯罪がビジネス化して来ていることを説明。また、サプライチェーンの弱点を悪用した攻撃が10大脅威では昨年3位から今年は2位にランクアップしていることからも対策の重要性が増しているとした。

過去の調査からも取引先等を経由したサイバー攻撃の被害経験は5社に1社があったという調査もある。ビジネス上の信頼関係にも影響が出ることから、自社の防衛が取引先を守ることにもなることを認識すべきと話した。

 しかし、中小企業の現状としてはセキュリティ対策を実施したきっかけは自社や他社のセキュリティインシデントであるという回答が半数であり、また管理ルールも半数以上がない。このほかルール違反を見つけても40%以上が上司に報告していなかったという状況だ。経済産業所が出している中小企業向けガイドラインや、IPAの支援策の認知度も非常に低い状況であり、中小企業のセキュリティ対策の浸透はなかなか十分ではないことが伺える。

 続いて、IoT機器の利用拡大に伴い増加するリスクと、その経営への影響に触れ、IoT機器の利用は年々増加しているが、不審な通信のうち約1/3はIoT機器を狙った攻撃であるとした。IoTにおけるセキュリティインシデントが経営に大きな影響を及ぼす事例も出てきている。

さらには、制御系システムへのサイバー攻撃の影響にも言及した。

 

 こういった課題にどのように取り組んでいくのかということで、経済産業省のサイバーセキュリティ政策について説明した。サイバーセキュリティ政策の全体像を示したうえで、そこには「Society5.0」の社会を見据えた対策の検討が必要であると述べた。そのためにサイバー・フィジカル・セキュリティ対策フレームワークを策定し、そのフレームワークをもとに各種の取り組みを行っているとして、ヴァージョン3となったサイバーセキュリティ経営ガイドラインの改訂ポイントなどを解説した。

 企業経営におけるサイバーセキュリティ対策の重要性が拡大したとして、サイバーセキュリティ経営をコーポレートガバナンスの一環として位置づけ、そのためにはサプライチェーン全体のサイバーセキュリティ対策が急務になっているとした。

 そのうえで、サイバーセキュリティ対策に関する様々な支援策を紹介した。サイバー攻撃が制御系システムにまで及ぶケースを考えたうえで経営ガイドラインを改訂したことや、サイバーセキュリティ体制構築・人材確保の手引きを付録として公開していることを説明した。

 

 最後に、具体的な取組の紹介を行った。

 サイバーセキュリティお助け隊サービスや、そのサービスをIT導入補助金制度で利用可能としたこと。また、地域に根付いたセキュリティ・コミュニティ(地域SECUNITY)の形成促進を行ったり、サプライチェーンのサイバーセキュリティ対策を産業界全体の活動として展開していくためのサプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)の活動、「中小企業119」(専門家派遣事業)についてなどを紹介した。

 山田氏は「経済産業省のサイバーセキュリティ政策の中でも、サプライチェーンに関するものについて紹介した。サイバー攻撃に対しては、引き続きガイドラインやツールを活用して強化していただきたい。本日紹介した内容が対策を進めるうえでの一助となれば幸いだ」と締めくくった。

【特別講演】

●JVCケンウッドが挑むサプライチェーンリスク対応のリアル

 特別講演として登壇した、株式会社JVCケンウッドの橋本氏から、まず、会社紹介と、橋本氏自身の経歴を紹介した。

                 [JVCケンウッド 橋本氏]

 続いて、同社としてのサイバーセキュリティ強化への取組みを紹介。強化を進めた経緯としては、国や団体、OEM先企業からの要求が大きかったことを踏まえ、まず、経営層にサイバーセキュリティ強化を進めることの理解をしてもらう必要があったこと。そのため、経営層への説明資料を工夫したり、従業員だけでなく役員向けにも勉強会を実施し、サイバーセキュリティ強化への理解を進めたことを紹介した。

 本題の、サプライチェーンセキュリティへの取組みだが、サプライチェーンセキュリティのリアルな悩みとして、業種・業態・地域・関係が多彩であることから、関係する相手は誰なのかが見えにくいことを挙げた。そして、同社としてのリアルなリスクとその課題点について、実事例を紹介。

 最後に、同社で起こったインシデント事例(導入していたセキュリティシステムが防御実行したことで被害はなかった)を紹介して講演を終わった。

※株式会社JVCケンウッド様については、リアルな事例を紹介いただくために、資料配布無し、講演内容はその場限りという条件でのご講演をお請けいただいていますので、講演内容については概要のみ掲載しています。

【パネルディスカッション】

●サプライチェーンリスクの課題と解決策を考える

 続けて、「サプライチェーンリスク対策の現状課題とアプローチ手法について考える」をテーマにしたパネルディスカッションが行われた。 
 登壇したのは、SecurityScorecard株式会社の衣川 俊章 氏、SOMPOリスクマネジメント株式会社の熱海 徹 氏、パーソルプロセス&テクノロジー株式会社の山田 剛士 氏、そして株式会社ブロードバンドセキュリティの山田 伸和 氏だ。グローバルセキュリティエキスパート株式会社の武藤 耕也 氏がファシリテーターを務め、「サプライチェーンリスクの課題の本質 ~今増大するリスクの原因と、対策の難しさ~」、「サプライチェーンリスク対策の現実解 ~現場で実践するべき具体的な対策とは何か?~」という主に2つの側面から意見を交わした。

[パネルディスカッション風景]

 まず「サプライチェーンリスクの課題の本質 ~今増大するリスクの原因と、対策の難しさ~」について、3つの討議テーマについて話し合った。

 

 

 

         [衣川 俊章 氏]            [熱海 徹
 1つ目の討議テーマとしては、「セキュリティ企業各社が考えるサプライチェーンリスクとは?(原因や発生する問題など)」。続いて2つ目は「業種・ロケーション(国内・海外)・企業規模などの違いによる課題の難しさとは?」。3つ目は「ほんとにあった怖いサプライチェーンリスクの話~現場で発生したサプライチェーンリスクのヒヤリハット事例~」

         [山田 剛士 氏]             [山田 伸和 氏

 次に、「サプライチェーンリスク対策の現実解 ~現場で実践するべき具体的な対策とは何か?~」について、4つの討議テーマについて話し合った。
 まず1つ目は「サプライチェーンリスクの対策のために、まず実施するべき対策とは何か?」。続けて2つ目は「サプライチェーンを管理する企業と、構成する企業、それぞれの対策のポイントとは?」。3つ目は「人材育成・組織開発の観点で、企業が実施するべきことは何か?」

 

 

 

 

 

                        [武藤 耕也 氏
 最後に「今後、サプライチェーンにおけるセキュリティ対策はどうなっていくのか、どんなことが求められるようになるのか?」について討議し、議論を締めくくった。

※パネルディスカッションについては、事業者側としてリアルな事例を紹介いただくために、資料配布無し、討議内容はその場限りという条件でディスカッションをお請けいただいていますので、内容については概要のみ掲載しています。

【閉会挨拶】

●実効性のあるサイバーセキュリティ支援のためには情報の共有が重要

 最後に、CSIJ運営委員で株式会社ラックの執行役員を務める中間俊英氏が、閉会の挨拶に立った。

 

 

 

 

       ​         [CSIJ運営委員 ​中間氏]

 中間氏はシンポジウム全体を振り返り、基調講演の山田氏、特別講演の橋本氏、パネルディスカッションの登壇有識者に感謝を伝えた。

 CSIJは日本社会の産業特性を考慮して、サイバーセキュリティ対策の提言と実効性のある支援を目的として設立した。この実効性のある支援のためには情報の共有が重要であり、CSIJの中では分科会活動として日頃から積極的にディスカッションしている。ぜひ賛同いただける企業の皆様にはCSIJの会員になっていただき、分科会活動に参加いただいて、日本の企業や組織のセキュリティレベルをより良くする活動を一緒にやっていきたいと思っている。

 本日はサプライチェーンリスクをテーマとしたが、これからもその時々のテクニカルトレンド・ビジネストレンドを踏まえてセミナーやシンポジウムを開催していくので、今後もCSIJをよろしくお願いしたいと締めくくった。

bottom of page