イメージ:写真AC

サイバーリスクに伴うサプライチェーンの脆弱性は、国際的な物流や経済に深刻な影響を与えており、経済安全保障の新たな脅威ともなっている。サプライチェーン全体のリスクを把握し、包括的なサイバーリスク管理の重要性について考察していく。

極めて深刻な影響

2023年11月、オーストラリアで港湾運営会社 DPワールドへの大規模なサイバー攻撃が発生し、同社は翌日午前9時にオペレーションが再開できる一時的な停止を行なっている。その影響でオーストラリア全体のコンテナを移動させるためのおよそ4割の能力が失われ、シドニー、メルボルン、ブリスベン、パースでは約30,000のコンテナが積み上がった状態に陥った。クリスマスのショッピングシーズン直前という時期に発生したため、輸入業者や小売業者、そして消費者にとって大きな影響を及ぼすこととなってしまった。サプライチェーンの重要性が高まるなか、サイバー攻撃が社会に深刻な影響を及ぼしている。

2017年にデンマークで発生した海運会社マースクへのサイバー攻撃では、同社のシステムやデータセンターが破壊されたことで、船積みや輸出入業務を手動で行わざるをえず、世界中の港での業務に混乱を生じさせている。ここでも同社の顧客である多くの企業が影響を受け、商品の配送に遅れが生じるなど、国際的な物流におけるサプライチェーンの、サイバー攻撃に対する脆弱性を示すこととなった。そして、数百億円にものぼる経済的損失も発生したと考えられている。

また、2021年に米国で発生したコロニアルパイプラインへのサイバー攻撃では、米国最大の燃料パイプライン事業者の一つが標的となったことから東海岸の燃料供給に大きな混乱が生じ、ガソリン価格の上昇や一部地域での燃料不足を引き起こすこととなった。航空会社は燃料を節約するために飛行ルートの変更まで余儀なくされている。[1] このインシデントは、サイバーリスクが国家レベルのエネルギー供給に及ぼす影響を示し、経済安全保障に対する新たな脅威として認識される出来事にもなった。[2]

これらの事例からも、グローバルに構築されたサプライチェーンがサイバー攻撃によって、極めて深刻な影響を受ける可能性があることは明らかだろう。サプライチェーンが攻撃されると経済活動の麻痺だけでなく、社会全体への影響も及ぶことになる。さらに、サイバー攻撃の対象が重要なインフラや国際的な物流に関わる企業であれば、その影響はより大きなものとなる恐れさえある。

新たな脅威の出現

サプライチェーンは、ITによるグローバルでの相互接続性向上やサードパーティーのベンダーやパートナーとの相互依存などによって、多くの企業にとって不可欠な要素となっている。同時に、その複雑性と広範なネットワークはサイバーリスクの発生源ともなり得るため、新たな脅威の出現などによってサイバーリスクに晒されている。

例えば、悪意ある者は標的とする組織を直接狙わずとも、セキュリティ対策が比較的手薄な関係組織を踏み台としたり、幅広く使用されているソフトウェアやハードウェア、サービスのサプライヤーを侵害することでそのユーザー企業に影響を及ぼしたりといったサイバー攻撃を行うことができるからだ。

グローバルでの相互接続性がおよぼすサイバーリスクについて考えてみると、1カ所で発生したサイバー攻撃が瞬時に世界中のビジネスに影響を及ぼす可能性を生み出すことがわかる。これは、上述した事例からも明らかだろう。IoTデバイス、クラウドベースのシステム、自動化された工程などサプライチェーンのIT化は効率化とコスト削減をもたらしたが、同時にリスク同士の相互接続性も向上させたのだ。そのため、接続された世界中のパートナー、サプライヤー、顧客などが相互に潜在的な攻撃の入り口となる可能性を持っている。

しかしながら、サプライチェーンがサイバーリスクを招くかもしれないと理解してはいても、サプライチェーンの複雑性がリスクの特定と管理を困難にしているという課題が現実にはある。実際にインシデントが発生した際にも、多数の関係者、異なるシステム、多様な地理的位置などが絡み合うことで、サイバー攻撃の発生源を特定し、対応することが困難な場合も多い。また、一つのサイバー攻撃が複数のプロセスや部門に影響を与える可能性があるため、包括的なサイバーリスク管理も必要となっている。

サプライチェーンの脆弱性がどのように実際の損害をもたらす可能性があるかを理解し、サイバーリスクを管理して、緩和するための戦略を策定していく必要がある。ただし、従来のセキュリティ対策だけではなく、新たなサイバーリスク管理のアプローチが必要であることは否定できない。特に、サプライチェーン全体のサイバーリスクを把握し、それに対応するための包括的な戦略が必要とされている。