Bizコンパス

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる
2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

著者 Bizコンパス編集部

「サプライチェーン」とは、製品が作られ、消費者に届くまでの一連の流れを指します。企業が製品を消費者に届けるためには、原料の調達から製造、物流、販売といった複数の工程を経なければなりません。これらの工程すべてを自社で行っている企業はあまりなく、多くの場合はサプライヤーの協力を得ながら製品を作っています。

 このサプライチェーンが今、サイバー攻撃者に狙われています。IPAが発表した『情報セキュリティ10大脅威 2019』によれば、組織のカテゴリで『サプライチェーンの弱点を悪用した攻撃の高まり』が4位に初めてランクインしました。サイバー攻撃の標的の標的が大企業からそのグループ会社や仕入れ先、発注先といったサプライヤーにまで拡がってきています。

 サイバー攻撃者は、セキュリティ対策が進み、侵入が難しくなった大企業ではなく、比較的セキュリティの甘い、サプライチェーンの企業を踏み台にして、本命である大企業を攻撃しようとしているのです。

 今回は、2019年11月にNTTコミュニケーションズ株式会社が行ったセキュリティセミナー「サプライチェーンのリスクとその対策について」での講演から、サプライチェーンリスクの現状と対策について考えます。登壇者は、多くのサプライヤーを抱えるトヨタ自動車の情報セキュリティ推進室の中島一樹氏と、英国のCyberDD社代表の足立照嘉氏です。

自動車産業のサプライチェーンの中心はソフトウェア

 昨今、自動車業界は「100年に一度の大変革期」を迎えています。「Connected」(コネクテッド)と「Autonomous」(自動運転)、「Shared」(シェアリングサービス)、「Electric」(電動化)の領域における技術革新は「CASE」と総称されています。これらの技術革新が一気に進んだことで、自動車産業は大きく変わりつつあります。

 トヨタ自動車の中島一樹氏は、自動車で使われる3~4万点という部品のうち、わが国のOEM(Original Equipment Manufacturer:完成車メーカー)が製造しているのは3割程度であり、それ以外は10階層まで連なるといわれている巨大サプライチェーンによって支えられていることに言及し、そのサプライチェーンが直面しているサイバーリスクの重要課題になっている現状について解説します。

「現在、多くの大企業が自動車ビジネスにシフトしており、OEMのサプライチェーンは巨大な規模になっています。また、これまでは工業製品が大半でしたが、すでにソフトウェアがトヨタのサプライチェーンの中心になっています。これは1次取引先だけでなく、2次以下の取引先も同様です。さらにサプライヤーの立地も愛知県と東京が同程度で以下、大阪、神奈川と続き、これまでの『企業城下町』とは様相が異なってきています。こうした事実には私も衝撃を受けました」(中島氏)

 現在でも自動車の内部で多くのソフトウェアが使われていますが、さらに自動車がインターネットに接続されるようになると、これまで以上にサイバーセキュリティの問題が浮上することになります。この問題に対しては国内外ですでに規制や基準作りが始まっているようです。

「こうしたサイバーリスクについては、自動車業界はもちろん、政府レベルでも議論が進んでいます。2019年5月には自動運転の実用化に向けた改正道路運送車両法において、サイバーセキュリティに関する項目が組み込まれました。

 国連の自動車基準調和世界フォーラム(WP29)の自動運転分科会では、OEMに、サイバーセキュリティ対策を義務づける国際基準案の策定も進められています」(中島氏)

SHARE

関連記事

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

脱エクセル!ServiceNowとTenableで脆弱性管理の自動化を実現

2019.09.27

DXを加速させるITシステムの運用改革第11回

脱エクセル!ServiceNowとTenableで脆弱性管理の自動化を実現

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

2019.09.25

IoTはビジネスの現場をどう変えていくのか第2回

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

VPNとは何か?その用途や問題点は?

2019.09.11

今知っておきたいITセキュリティスキルワンランクアップ講座第15回

VPNとは何か?その用途や問題点は?

社員同士の学びを推進する、スマホを使ったKUMON独自の「働き方改革」

2019.09.04

働き方改革&生産性向上のカギはどこにある?第12回

社員同士の学びを推進する、スマホを使ったKUMON独自の「働き方改革」