いまサプライチェーン攻撃に備えよ(坂口孝則)
以前、三菱電機が中国系のハッカーに侵入され、技術・営業資料や退職者などの情報が漏えいしたと発表がありました。発覚から半年。半年もかかるなんて長いぞ、と見る向きもあるようですが、私は再発防止までを考えると、一方的に責めるつもりになりません。それよりも、世間は、技術・営業資料が漏れたことを重要視していますが、そうなんでしょうか。私などから見ると、同社は防衛や宇宙、公共インフラなどに携わっているので、そのOB情報が漏れるほうがマズいんじゃないでしょうか。
ところで、話を戻すと、この事件は示唆的です。つまり、国が公共インフラにかかわる事業を三菱電機に依頼しているのですが、仮に国のセキュリティが盤石でも、取引先のセキュリティが破られる可能性があるのです。なお、私は国のセキュリティが完全い盤石とはいっていません。あくまで、仮に盤石であっても、という意味です。
このところ、「サプライチェーン攻撃」なる単語が話題になっています。大企業はセキュリティ上、なかなか破ることが難しいかもしれません。しかし、その取引先であれば、セキュリティ上の穴があるはずなので、そこから攻めて、機密情報を入手するのです。これを、サプライチェーン上の下位企業を攻める意味で、サプライチェーン攻撃と呼ばれます。
あまり考えたくもない話ですが、たとえばティア1サプライヤだとか、コンサルティング企業にハッキングできれば、相当な情報を入手することができます。ティア1サプライヤは、発注元企業のかなりの情報をもっているはずです。コンサルティング会社にいたっては、支出分析情報だけではなく、トップの企業戦略情報などももっているはずで、それが漏えいする被害はおそろしい範囲に及びます。
私たちは、これまで自社のリスクマネジメントを考えていました。それが、取引先など、サプライチェーン全体に広がるのです。もちろん、取引先にたいするセキュリティ監査は強化されていますし、要求提出資料も増えています。でも、そもそも元請企業の情報が漏れているのです。これだけ見ても、完璧な防御策はありません。
しかし、矛盾するようですが、いまサプライチェーン攻撃に備えなければなりません。みなさんの企業のBOM(部品表)データをもっているサプライヤが情報漏えいしたら、すぐさまノウハウが流出しますからね。では、どこまでの費用をかけて、どこまで予防すべきか。それこそが戦略であり、企業ごとの「決め」が重要です。その際には、調達部門のリーダーシップがなによりも必要です。
どうすればいいのか。それは、まわりの企業の様子を見ながら意思決定が必要でしょう。
