▼ 目次
１．サプライチェーン攻撃による情報セキュリティリスクの増大
２．基幹インフラ制度の概要
３．企業の自律的なリスク管理の必要性
４．Bitsightを使ったセキュリティレーティング事例
５．まとめ：リスク管理の未来像と対策ソリューション

(1) サプライチェーン攻撃とは？

　サプライチェーン攻撃とは、取引先や委託先など、サプライチェーンを構成する関連企業を経由して標的企業に侵入する攻撃手法です。攻撃には多様なパターンがあります。

　よくある攻撃手法の1つは、IT製品のサプライチェーンを狙う手法です。攻撃者は標的企業が使う製品の開発・製造・流通過程のいずれかの段階でマルウェアやバックドアを仕込みます。企業がそうした製品を意図せずに導入してしまうと、攻撃者は埋め込まれた不正なコードを通じて、その企業のシステムに侵入できるようになります。

　また、業務委託先や子会社のネットワークを経由する手法でも被害が増えています。攻撃者は、まずセキュリティが手薄な業務委託先や子会社のシステムに侵入し、親会社のシステムに関する権限等を盗みます。そして、そこから信頼された権限や経路を使って標的企業である親会社のシステムに侵入します。

　その他にも取引先になりすましてランサムウェア等を添付したメールを送信する、クラウドサービスの機能を介して不正なプログラムを流通させるなどもよくある手法です。いずれの場合も、正規の取引関係や信頼関係を悪用する点が特徴として挙げられます。

(2) 基幹インフラ制度のリスク管理措置の概要

　基幹インフラ制度のリスク管理措置は、主に以下の3つの類型に分けられます。

1. 供給者のプロファイルと外部影響の統制
   供給者の法令遵守状況の確認や、外国からの影響に対する契約上の保護措置などが含まれます。
2. 導入の管理
   悪性コードの混入防止のための検証や、最新のセキュリティパッチ適用確認など、具体的な技術的対策が求められます。
3. 設備状況の把握と継続性の評価
   サービス補助の継続性確保や、ランサムウェア感染時の役務提供体制の整備などが含まれます。

　これらの措置を効果的に実施するためには、事業者単独での取り組みだけでなく、供給者や委託先を含めた包括的な対応が不可欠です。特に、DXの進展に伴う企業間連携の複雑化や、対策が遅れがちな中小企業のセキュリティ対策の脆弱性など、構造的な課題に対しても継続的な対応が求められています。

3. 企業の自律的なリスク管理の必要性

　サプライチェーンにおける潜在的リスクへの効果的な対処には、受動的な対応だけでなく、各社による自律的な取り組みが不可欠です。例えば自動車産業界では、サイバー攻撃増加への対応として業界共通の評価フレームワークやチェックシートを策定し、業界全体でセキュリティレベルの向上を図っています。しかし、多くの企業ではポリシーの未整備や社内リソースの不足により、即座の実践が困難な状況にあります。

(1) セキュリティレーティングサービスによる可視化

　第一歩として推奨されるのが、セキュリティレーティングサービスを活用した客観的な状況把握です。このサービスは、WebページのソースやDNSなど、インターネット上の公開情報を基に企業のリスクを分析し、格付けを行います。このサービスを利用することで自社だけでなく、サプライヤーや委託先など取引先のセキュリティ状態も可視化できます。

(2) 事業者に求められるリスク管理プロセス

　事業者に求められるリスク管理プロセスは、以下の3つのフェーズで構成されます。

1. 計画フェーズ…サイバーセキュリティ戦略とリスク管理ポリシーの策定、体制整備を行います。
2. 取引前フェーズ…取引先のリスク評価と取引可否の判断、取引先が実施すべきセキュリティ要件の明確化を実施します。
3. 取引後フェーズ…継続的なモニタリングと改善活動を行い、新たなリスクが発見された場合は計画フェーズにフィードバックします。

　特に取引後フェーズは最も長期的で労力を要する部分ですが、本来リソースを割くべきなのは計画フェーズです。そこで、取引前フェーズや取引後フェーズでセキュリティレーティングサービスを活用することで、運用負荷を大幅に軽減し、本来注力すべき計画フェーズにより多くのリソースを振り向けることが可能となります。

4. Bitsightを使ったセキュリティレーティング事例

　CTCが海外グループ会社のリスク管理強化に活用しているのが、Bitsightというセキュリティレーティングサービスです。グローバルで3,000社以上に採用されているという圧倒的シェアと、スコア改善に向けた機能の充実度が特長です。リスク項目の優先度の可視性、他ツールとの連携のしやすさもポイントです。

図 2. セキュリティレーティングサービス Bitsight

(1) CTCが当初抱えていた課題

　CTCは当初、以下の2つの課題を抱えていました。

1. 米国、マレーシア、シンガポールなど6つの海外拠点があり、各拠点のセキュリティ対策状況を把握することが難しかった。
2. 各拠点でもセキュリティ対策の重要性は理解していたものの、具体的な進め方がわからないという声が上がっていた。

　このような状況を改善するため、Bitsightの導入と運用を開始。海外拠点への月次でのレポート送付や、スコア低下時のアラート通知、セキュリティ対策の優先度付けを実施し、必要に応じてQAやサポートも提供する体制を整えました。

　しかし、実際に運用を開始してレポートやアラートを送付しても、一部の拠点ではスコアが上がらない状況が続きました。原因を探ってみると、各拠点ではレポートを見ても具体的な改善方法がわからないという声や、拠点ごとのセキュリティスキルにばらつきがあることがわかりました。

(2) Bitsightの活用により課題を解決

　CTCはこの課題を解決するため、定期的なセキュリティ勉強会を開催。Bitsightの使い方やリスク項目の改善方法について、丁寧な説明を続けました。その結果、各拠点のメンバーも積極的に取り組むようになり、現在ではほとんどの拠点が、セキュリティリスクが低いと評価される指標の1つである「750点以上（600点未満の企業と比べてランサムウェア感染リスクが6分の1未満）」を維持できるまでに改善しています。

　このような取り組みを通じて、CTCグループ全体のセキュリティ対策状況を可視化できただけでなく、各拠点でセキュリティに関するナレッジが蓄積され、改善のスピードも向上。ツールの導入にとどまらない、真の意味での自律的なリスク管理が実現できました。さらに、Bitsightから新たにリリースされた取引先へのアンケート自動査定機能も活用し、組織体制などのソフト面も含めたガバナンス強化を目指しています。

5. まとめ：リスク管理の未来像と対策ソリューション

　今後のビジネス継続に向けては、基幹インフラ制度で定義された範囲にとどまらず、包括的かつ自律的なリスク管理が求められます。

　CTCでは対策ソリューションとして、サードパーティリスクを管理する「Bitsight」、APIアクセスから機密情報を保護する「AUTHLETE」、ディープラーニングで未知のマルウェアに対応する「deep instinct」などを提案しています。これらのツールは、金融機関をはじめとする多くの業界で実績を重ねています。

　サプライチェーンリスクは年々複雑化・深刻化しており、企業単独での対応には限界があります。効果的なリスク管理の実現には、適切なツールの選定と運用ノウハウの蓄積が不可欠です。CTCは、グローバルで実績のあるセキュリティソリューションの導入支援から運用定着までの包括的なサポートを提供しており、自社での導入・運用経験を活かした実践的なアドバイスも可能です。サプライチェーンのセキュリティ対策でお困りの際は、ぜひCTCにご相談ください。経験豊富なエキスパートが、貴社の課題に最適なソリューションをご提案します。