ロシアのウクライナ侵攻の影響で、黒海等で商船140隻が足止めを食い、船員1,000人以上の食料不足が危機的な状況に陥ったとのニュースが生々しく伝えられました。海軍であれば、洋上補給(UNREP)を行える補給艦が配備されているため、食料補給には困らない訳ですが、通常、商船はそこまですることはありません。しかし、現実に紛争で食料の供給がストップしてしまいましたし、ビジネスは言うに及ばず従業員を含めた安全の観点からは大問題です。

デジタルでつながった「海」に浮かぶ我々の「ビジネス船」は、紛争時にも新鮮な食料(データ)の補給(サプライ)を受け取れるでしょうか? 実は、国際的なサプライチェーンのセキュリティには、日本の実務には無い仕組みが隠されています。

(Image – the ISF)

(ここから引用)

紛争時のサプライチェーン確保に向けた5つの手段

May 22, 2022
SOURCE: SupplyChainBrain
By Steve Durbin
SCB Contributor/ISF Chief Executive

インフレ率の上昇、物価の高騰、先行き不透明な景気回復、進行中のロシア=ウクライナ危機などに現れているように、2022年の世界経済はかなり厳しいスタートとなりました。このような不安定な情勢を背景に、サプライチェーンに連なる会社は、事業の中断、インフラのセキュリティや安全性、機密データの盗難や紛失、ランサムウェアなどの悪質なサイバー攻撃の多発など、大きなリスクと強いプレッシャーに悩まされているのが実情です。セキュリティ研究者の間では、ロシア紛争で少なくとも4種類の「ワイパーマルウェア」(システムを消去し、情報を破壊するマルウェア)が放たれたことが確認されました。実際のところ、私たちの世界では、壊滅的な巻き添えとなった被害をもたらし、最大で半年分以上の利益を帳消しにするほどの被害を引き起こすことが知られているNotPetyaタイプのサイバー攻撃を再び受け入れる余裕はないのです。

ところが、今日のグローバル経済は非常に密接に絡み合っているため、サイバー防衛体制も各組織個別に成り立つことはできません。むしろ、サプライチェーンのパートナーや二次サプライヤーなどの他の階層をも含むサイバーエコシステム全体にわたって対策が講じられなければならないのです。企業もサプライヤーも、サイバーリスクが発現した時点で、そのリスクを積極的に排除するための集団的なレジリエンスを形成する必要があるのです。それでは、潜在的なリスクを軽減し、より優れた防御力を身につけるために、企業は何をすればよいのでしょうか。

継続的にサプライヤーのインベントリを検証

レジリエンス戦略において重要な基礎となるのは、一つのビジネスが、そのサプライチェーンに起因して受ける被害の程度を把握しておくことです。したがって、組織は、アウトソーシングしているサービスの正確な性質(例えば、ソフトウェアの設計と開発)、サプライヤーが製造している製品のタイプ(例えば、ハードウェアやネットワーク製品)、およびその主要な地理的位置に関する最新の詳細を把握しておく必要があります。さらに、サプライチェーンにある情報機器やソフトウェアあるいはプロセスに予期せぬ異常が発生した場合、それを主要な担当者に通知する手段として、テクノロジーを活用することが求められます。

日常的なリスク評価の実施

サプライチェーンの環境は絶えず変化し続けているため、企業にとって、自社のエコシステム全体のサイバーリスク状況をリアルタイムに把握し続けることが重要な意味を持ちます。具体的には、セキュリティ、プライバシー、ファイナンス、品質、地政学的リスクなど、さまざまなリスクをモニタリングする必要があるのです。例えば、リスクの高い地域に存在し、混乱に対して最も影響を受けやすいサプライヤーなど、その重要性および地理的な位置に基づいてサプライヤーの位置づけを決定するところから始めてみましょう。とりわけ、直近に契約解除したサプライヤーや新たに獲得したサプライヤーには、さまざまな形のリスクが存在する可能性があるため、優先度を高くしておきます。また、それぞれのサプライヤーの状況(法的、財務的、資本的、生産的な変化)をモニタリングし、その変化が、規制上の義務、リスク許容度、事業環境など、自社特有のニーズに合っているかどうかを評価します。そして、これまでに問題のあったサプライヤーやリスクの高いサプライヤーのチェックリストを作成するのです。