サプライチェーン・セキュリティーとは

サプライチェーンの私たちの多くは、TargetとHome Depotが、サードパーティーの関係の結果として、相互に数か月以内に被った大規模なデータ侵害を覚えています。６年後も、サプライチェーンのセキュリティー侵害は依然として話題となっています。特に、SolarWinds社によるセキュリティー侵害は現在業種・業務全体に波及しています。最新の分析では、データ侵害の平均コストは386万米ドルで、大規模な侵害（5,000万件以上のレコードが盗まれる）の場合は3億9200万米ドルに達すると推定されています。2020年のサプライチェーン攻撃 の急増を考慮すると 分析が更新された場合の影響は想像に難くありません。

では、サプライチェーンのセキュリティーに取り組むためには何が必要なのでしょうか？

課題の1つは、サプライチェーンのセキュリティーの単一の機能的な定義が存在しないことです。これは、物理的な脅威からサイバー脅威まで、トランザクションの保護からシステムの保護まで、直接のビジネス・ネットワーク内の関係者とのリスクの軽減から、第三、第4、「n」の当事者との関係から生じるリスクの軽減まで、あらゆるものを含む非常に広範囲の領域です。しかし、サプライチェーンのセキュリティーには多面的で機能的に調整されたアプローチが必要であるという合意が増えています。

サプライチェーンのリーダーはサイバー脅威を懸念していると語ります。そのため、このブログでは、製品やサービスの品質と提供、および関連するデータ、プロセス、システムを保護するためのサイバーセキュリティーの側面に焦点を当てていきます。

「サプライチェーンのセキュリティーは学際的な問題であり、ビジネス、カスタマー・サポート、IT組織間の緊密な連携と実行が必要であり、それには独自の課題があります。これを正しく活用する企業は、ITと安全なマルチエンタープライズ・ビジネス・ネットワークから始めて、アナリティクスと可視化機能への慎重な管理と安全なアクセスを構築し、そこからすべてのレイヤーの異常な動作を継続的に監視します。」

IBM Sterling、CTO、Marshall Lamb氏

サプライチェーンのセキュリティーが重要な理由

サプライチェーンで最も重要なのは、顧客が必要とするものを、適切な価格、場所、時間で提供することです。提供される製品やサービスの完全性、交換されるデータのプライバシー、および関連する取引の完全性に対する混乱やリスクは、運営、財務、ブランドに損害を与える可能性があります。データ侵害、ランサムウェア攻撃、インサイダーや攻撃者による悪意のある活動は、サプライチェーンのどの層でも発生する可能性があります。単一のベンダーやサードパーティー・サプライヤーに限定されたセキュリティー・インシデントであっても、「計画、作成、提供」のプロセスに大きな混乱が生じる可能性があります。

「サプライチェーンの強さは、最も脆弱な事業体と同じくらいです。ロサンゼルス港のサイバー・レジリエンス・センターは、サプライチェーンの各メンバーが身を、ひいては相互に保護することを支援します。」

IBM Security X-Force担当副社長、Wendi Whitmore氏

このリスクを軽減することは、目標を変更するものであり、増大する課題です。サプライチェーンは、データへのアクセスと、そのデータを閲覧するユーザーを管理できる保証を必要とする大規模かつ増え続けるサードパーティー・パートナーで構成され、ますます複雑化しているグローバル・ネットワークになっています。今日、スタッフや予算に対する新たなストレスや制約、ストラテジー、パートナー、供給と需要の組み合わせに対する予期せぬ急速な変更により、さらなる課題と緊急性が加わります。同時に、知識が豊富で社会的意識の高い顧客や従業員は、購入またはサポートする製品やサービスの透明性と可視性を求めています。すべてのタッチポイントに、評価、管理、軽減すべきリスクの要素が加わります。

サプライチェーンにおけるセキュリティー上の懸念事項トップ5

世界中のあらゆる業種・業務のサプライチェーンリーダーが、私たちにこれら5つのサプライチェーンのセキュリティーへの懸念が夜に目覚めを引き起こしていると語ります。

1. データ保護。データはビジネス・トランザクションの中心にあり、侵害や改ざんを防ぐために、保存中および移動中のデータで保護および管理する必要があります。安全なデータ交換には、サードパーティでも電子商取引ウェブサイトでも、もう一方のソースを信頼することも含まれます。あなたがやり取りしている相手が、不可欠であると言える人物であることを保証することができます。
2. データの局所性。クリティカルなデータはサプライチェーンのあらゆる階層に存在し、どこにあってもその位置を特定し、分類し、保護する必要があります。規制の厳しい業界である金融サービスやヘルスケア・データでは、事業を展開する地域によって異なる業界標準と官公庁・自治体による規制に準拠して、データの取得・保管・管理・使用・交換を行う必要があります。
3. データの可視性とガバナンス。マルチエンタープライズ・ビジネス・ネットワークは、企業間のデータ交換を容易にするだけでなく、複数の企業がデータにアクセスできるようにすることで、表示、共有、共同作業を可能にします。参加企業は、データを管理し、データを共有する相手や権限のある各当事者が何を見ることができるかを決定できるようにすることを求めています。
4. 詐欺防止。受注から現金化までの単一のサイクル内で、データは紙形式の場合や電子形式で何度も変化します。当事者間でデータが交換されたり、システム内でデータが移動されたりするすべての時点で、悪意を持ってまたは意図せずにデータが改ざんされる機会が生まれます。
5. サード・パーティーのリスク携帯電話から自動車に至るまで、日々の製品やサービスはますます洗練されてきています。その結果、サプライチェーンは完成品を納品する際に、4層以上のサプライヤーに依存していることがよくあります。これらの外部関係者はそれぞれ、自身の脆弱性を適切に管理する能力に基づいて、組織を新たなリスクにさらす可能性があります。

サプライ・チェーン・セキュリティのベスト・プラクティス

サプライチェーンのセキュリティーには多面的なアプローチが必要です。万能のソリューションはありませんが、組織は多層防御を組み合わせてサプライチェーンを保護できます。サプライチェーンのセキュリティーに重点を置くチームは、脅威アクターによるセキュリティー管理の実装をより困難にしているため、不正なアクティビティーを検知して行動に移る時間が増えます。ここでは、サプライチェーンのセキュリティー・リスクを管理し、軽減するために組織が追求している最も重要なストラテジーの一部を紹介します。

• セキュリティストラテジーの評価。リスクとコンプライアンスを評価するには、データ・プライバシー、サード・パーティーのリスク、IT規制コンプライアンスのニーズとギャップを含む既存のセキュリティー・ガバナンスを、ビジネス上の課題、要件、目的に対して評価する必要があります。セキュリティー・リスクの定量化、セキュリティー・プログラムの開発、規制と標準の遵守、セキュリティー教育プログラムとトレーニングが重要です。
• 脆弱性の軽減とペネトレーション・テスト。脆弱性スキャンを実行することで、基本的なセキュリティー上の懸念事項を最初に特定します。不正なデータベース構成や不十分なパスワード・ポリシーを修正し、デフォルト・パスワードを排除し、エンドポイントとネットワークを保護することで、生産性やダウンタイムへの影響を最小限に抑えながら、リスクを即座に軽減することができます。ペネトレーション・テストの専門家を雇い、フィッシング・シミュレーションやレッド・チームを通じて、新しいアプリケーションや古いアプリケーション、サプライチェーンの基盤となるITインフラストラクチャー、さらには人など、あらゆる側面の脆弱性の発見を試みます。
• デジタル化とモダナイゼーション。ビジネス取引に紙、電話、ファックス、Eメールに依存している場合、データを保護するのは困難です。重要な手動プロセスのデジタル化が鍵となります。手動の紙ベースのプロセスから容易に切り替え、トランザクションにセキュリティー、信頼性、ガバナンスをもたらすテクノロジーは、企業内、顧客、取引先との安全なデータ移動の基盤を提供します。ビジネス・プロセスとソフトウェアをモダナイズすることで、暗号化、トークン化、データ損失防止、ファイル・アクセスの監視とアラートを活用し、チームとパートナーにセキュリティのアウェアネスとトレーニングを提供することができます。
• データの識別と暗号化。データ保護プログラムとポリシーには、保護された顧客情報、財務データ、専有の記録を含むデータベースとファイルを特定する検出および分類ツールの使用を含める必要があります。データが特定されたら、最新の標準と暗号化ポリシーを使用することで、顧客、財務、注文、インベントリー、IoT、ヘルスなど、保存中および移動中のあらゆる種類のデータを保護します。受信接続が検証され、ファイルの内容がリアルタイムで精査されます。デジタル署名、多要素認証、セッション・ブレークは、インターネット経由で取引する際の制御を強化します。
• データ交換と可視性のための許可された制御。複数の企業にまたがるビジネス・ネットワークは、ユーザー・ベースおよびロール・ベースのアクセス・ツールを使用して、戦略的パートナー間の安全で信頼性の高い情報交換を実現します。IDおよびアクセス管理のセキュリティー・プラクティスは、広いエコシステム全体で専有データや機密データを安全に共有するためにクリティカルであり、脆弱性を発見して軽減することで、不適切なアクセスや侵害のリスクを低減します。データベース活動監視、特権ユーザー監視、アラートは、問題を迅速に検知するための可視性を提供します。複数企業のビジネス・ネットワークにブロックチェーン・テクノロジーを追加することで、許可された不変の共有記録を複数の関係者が可視化できるようになり、バリュー・チェーン全体の信頼が高まります。
• 信頼、透明性、出所。ブロックチェーンプラットフォームでは、データが台帳に追加されると、操作、変更、削除ができないため、不正行為を防止し、出所を認証し、製品品質を監視することができます。複数の企業からの参加者が、材料や製品を供給源から最終顧客や消費者まで追跡できます。すべてのデータはブロックチェーンに保管され、市販されている最高レベルの耐タンパー暗号化で保護されています。
• サードパーティーのリスク管理：企業とサードパーティ間のつながりと相互依存関係がサプライチェーンエコシステム全体で拡大するにつれて、組織はベンダーリスク管理の定義をエンドツーエンドのセキュリティを含むように拡大する必要があります。により、企業は関係の全期間を通じてリスクを評価、改善、監視、管理することができます。まず、自社のビジネスチームと技術チームをパートナーやベンダーと連携させ、コンプライアンス違反、システム停止、データ侵害が公になった場合のクリティカルな資産とオペレーションへの潜在的な損害を特定することから始めます。
• インシデント対応の計画と調整。侵害、シャットダウン、または中断に備えて前もって準備し、強固なインシデント対応計画を策定することが不可欠です。実践およびテストされ、容易に実行された対応計画と修復により、収益の損失、評判の低下、パートナーや顧客の解約を防ぐことができます。インテリジェンスと計画は、組織やパートナーが攻撃やインシデントの再発を防ぐためのメトリクスと学習を提供します。

サプライチェーンのセキュリティーは次に進むスマートになり続けます。一例として、不正アクセスを示唆する異常、パターン、傾向を特定することで、不審な行動を積極的に検知するAIがソリューションに組み込まれ始めています。AI搭載ソリューションは、人間の対応を求めるアラートを送信したり、試みを自動的にブロックしたりできます。

今日、企業はどのようにしてサプライチェーンのセキュリティーを確保しているのでしょうか？

IBM Sterling サプライチェーン ビジネスネットワーク は、今年9月に安全なビジネス取引で新記録を樹立し、2019年9月から29%増加し、世界的なパンデミックにもかかわらず世界中の顧客がセキュリティと信頼をもってビジネスを再建できるよう支援しています。

国際送金サービスプロバイダーのWestern Union は、信頼できるファイル転送インフラストラクチャを使用して、2018 年に個人および法人のクライアント向けに 800,000 万件を超える取引を迅速かつ確実に安全に完了しました。

ファッション小売業者の アイリーン・フィッシャー は、インテリジェントなオムニチャネル フルフィルメントプラットフォーム を用いてチャネル間で単一の在庫プールを構築し、在庫データの信頼性を高め、より柔軟なフルフィルメントを実行し、顧客獲得コストを削減しました。

ブロックチェーン・エコシステムである Farmer Connect は、ネットワークとデータ・セキュリティーを組み込んだブロックチェーン・プラットフォームを使用して、信頼性、安全性、出所を高めることで、コーヒー生産者とサービスを提供する消費者を透過的につなぎます。

金融サービスプロバイダーのRosenhal & Rosenthal社は、データ交換（EDI）サービスに対する複数のアプローチを、安全なクラウドベースのマルチエンタープライズ・ビジネス・ネットワークに置き換え、運用コストを削減しながら、すべての顧客に迅速かつ高品質なサービスを提供しています。

統合物流プロバイダーのVLIは、数多くの官公庁・自治体コンプライアンスおよび安全規制を満たし、9,000人の従業員が適切なタイミングで適切なシステムにアクセスできるようにしています。統合スイートのセキュリティソリューションにより、事業と資産を保護し、ユーザーアクセスを管理しています。

ロサンゼルス港は、貨物の流れを阻害する可能性のあるサイバー脅威に対応するため、サプライチェーン・エコシステムのアウェアネスと準備態勢を強化することを目的とした、一連のセキュリティサービスを提供する、世界初のサイバー・レジリエンス・センターを構築しています。

サプライチェーンの安全を確保するためのソリューション

最も機密性の高いデータを安全に保ち、信頼できるデータのみがアクセスできるようにし、不正行為を防ぎ、サードパーティのリスクから保護します。IBMは、オンプレミス、クラウド、ハイブリッドなど、実装アプローチに関係なく機能する長年に渡ってテストされたセキュリティーにより、サプライチェーンを保護するお手伝いをします。