セキュリティ対策に企業規模は関係ない！中小企業にこそセキュリティ対策が必要な理由とは？

　近年、サプライチェーン攻撃による中小企業を踏み台にした大企業等へ攻撃被害が顕在化してきております。

　IPAが毎年公開している「情報セキュリティ10大脅威」では2019年に初めて「サプライチェーンの弱点を悪用した攻撃の高まり」が登場し、最新の2021年版にも継続してランクインしています。

出典：情報セキュリティ10大脅威 2021

　この記事では年々被害が拡大しているサプライチェーン攻撃の脅威と対策についてご紹介します。

サプライチェーンとは

　原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流に関わる複数の組織を「サプライチェーン」と呼ばれます。
　例えば車１台を製造するにも、ネジを作る会社、タイヤを作る会社、エンジンを作る会社等等、様々な組織（会社）が関係しています。これが「サプライチェーン」です。
　また、特定の業務を「外部組織」に委託している場合なども「サプライチェーン」の一環となります。

サプライチェーン攻撃とは

　ほとんどの製品やサービスはこの「サプライチェーン」の上に成り立っていると言えます。例えばこのような被害があります。

・業務委託先組織のメール情報を抜き取り業務委託元とのやりとりから機密情報を盗む
・取引先に成り済ましビジネス詐欺メールを送付する
・業務委託先組織が預かる個人情報が漏えいする

等の被害が実際に発生しています。
　委託元と委託先は必ずしも同等のセキュリティ対策を行っているとは言えません。そのため企業間のセキュリティ対策の違いが「弱点」となってしまい、その弱点をつく攻撃を「サプライチェーン攻撃」と呼んでいます。

引用：情報セキュリティ10大脅威 2021

サプライチェーンリスクの対策

　では、このサプライチェーンリスク対策をどのように行えばいいのでしょうか？
　IPAは中小企業の為の具体的な対策を示す「中小企業の情報セキュリティ対策ガイドライン」を公開しています。この中で以下の３原則が記載されています。

・原則１：情報セキュリティ対策は経営者のリーダーシップで進める

・原則２：委託先の情報セキュリティを考慮

・原則３：関係者へ対し常に情報セキュリティに関するコミュニケーションをとる

つまりこの３原則に根ざした対策が基本対策の重要な観点と言えるでしょう。

・情報セキュリティ対策は経営者のリーダーシップで進める

→企業として情報セキュリティ方針を策定し遵守することを宣言する。（コンプライアンス）

・委託先の情報セキュリティを考慮

→取引先に対しパートナーシップとして同等かそれ以上の情報セキュリティ対策を求める。（または応じる）

・関係者へ対し常に情報セキュリティに関するコミュニケーションをとる

→企業としての全ての関係者へ対し説明できる状態を維持する。（説明責任を全うする。）

　これらの原則に加え、実践的な進め方についても大変参考になるガイドラインとなっています。また、自社の情報セキュリティ対策の現状も診断できるツールや、既定サンプルも付録として充実しています。ぜひサプライチェーンのリスク対策にご一読ください。

出典：中小企業の情報セキュリティ対策ガイドライン

まとめ

　歴史上、既に多くの業界でサプライチェーンは構成されています。また日本企業の９９％以上が中小企業です。よって日本の産業を支える中小企業にこそセキュリティ対策が必要であると言えるでしょう。

　外部組織へ委託している個人情報、技術情報、締結している機密保持契約、しっかり守られていますか？

　一朝一夕でセキュリティ対策は完了しません。無理をせず、できることから初めてみてはいかがでしょうか？実施状況を確認してみることをおすすめします。