NTTコミュニケーションズ

Bizコンパス

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる
2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

著者 Bizコンパス編集部

「サプライチェーン」とは、製品が作られ、消費者に届くまでの一連の流れを指します。企業が製品を消費者に届けるためには、原料の調達から製造、物流、販売といった複数の工程を経なければなりません。これらの工程すべてを自社で行っている企業はあまりなく、多くの場合はサプライヤーの協力を得ながら製品を作っています。

 このサプライチェーンが今、サイバー攻撃者に狙われています。IPAが発表した『情報セキュリティ10大脅威 2019』によれば、組織のカテゴリで『サプライチェーンの弱点を悪用した攻撃の高まり』が4位に初めてランクインしました。サイバー攻撃の標的の標的が大企業からそのグループ会社や仕入れ先、発注先といったサプライヤーにまで拡がってきています。

 サイバー攻撃者は、セキュリティ対策が進み、侵入が難しくなった大企業ではなく、比較的セキュリティの甘い、サプライチェーンの企業を踏み台にして、本命である大企業を攻撃しようとしているのです。

 今回は、2019年11月にNTTコミュニケーションズ株式会社が行ったセキュリティセミナー「サプライチェーンのリスクとその対策について」での講演から、サプライチェーンリスクの現状と対策について考えます。登壇者は、多くのサプライヤーを抱えるトヨタ自動車の情報セキュリティ推進室の中島一樹氏と、英国のCyberDD社代表の足立照嘉氏です。

自動車産業のサプライチェーンの中心はソフトウェア

 昨今、自動車業界は「100年に一度の大変革期」を迎えています。「Connected」(コネクテッド)と「Autonomous」(自動運転)、「Shared」(シェアリングサービス)、「Electric」(電動化)の領域における技術革新は「CASE」と総称されています。これらの技術革新が一気に進んだことで、自動車産業は大きく変わりつつあります。

 トヨタ自動車の中島一樹氏は、自動車で使われる3~4万点という部品のうち、わが国のOEM(Original Equipment Manufacturer:完成車メーカー)が製造しているのは3割程度であり、それ以外は10階層まで連なるといわれている巨大サプライチェーンによって支えられていることに言及し、そのサプライチェーンが直面しているサイバーリスクの重要課題になっている現状について解説します。

「現在、多くの大企業が自動車ビジネスにシフトしており、OEMのサプライチェーンは巨大な規模になっています。また、これまでは工業製品が大半でしたが、すでにソフトウェアがトヨタのサプライチェーンの中心になっています。これは1次取引先だけでなく、2次以下の取引先も同様です。さらにサプライヤーの立地も愛知県と東京が同程度で以下、大阪、神奈川と続き、これまでの『企業城下町』とは様相が異なってきています。こうした事実には私も衝撃を受けました」(中島氏)

 現在でも自動車の内部で多くのソフトウェアが使われていますが、さらに自動車がインターネットに接続されるようになると、これまで以上にサイバーセキュリティの問題が浮上することになります。この問題に対しては国内外ですでに規制や基準作りが始まっているようです。

「こうしたサイバーリスクについては、自動車業界はもちろん、政府レベルでも議論が進んでいます。2019年5月には自動運転の実用化に向けた改正道路運送車両法において、サイバーセキュリティに関する項目が組み込まれました。

 国連の自動車基準調和世界フォーラム(WP29)の自動運転分科会では、OEMに、サイバーセキュリティ対策を義務づける国際基準案の策定も進められています」(中島氏)

SHARE

関連記事

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

暗号化ZIPをメールで添付する方式の何が問題か?

2021.02.02

今知っておきたいITセキュリティスキルワンランクアップ講座第25回

暗号化ZIPをメールで添付する方式の何が問題か?

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

2021.01.25

IT&ビジネス最新ニュース第101回

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

日本のセキュリティリーダーシップに求められる3つのこと

2020.12.14

IT&ビジネス最新ニュース第89回

日本のセキュリティリーダーシップに求められる3つのこと

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

2020.12.11

セキュリティ対策に求められる新たな視点第19回

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?

2020.12.09

セキュリティ対策に求められる新たな視点第18回

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?