出典:Immersion Imagery(Shutterstockより)
アジアの企業は、サードパーティの不十分なサイバーセキュリティ対策が増加する情報漏えいの原因となっていることから、サプライヤーのサイバーセキュリティにより注目するようになっています。
今月初め、日本の半導体メーカーであるキオクシアホールディングスは、3,000社のサプライヤーに対し、サイバーセキュリティ体制の自動スキャンを開始することを通知したと報じられています。評価が低いサプライヤーには改善を義務付け、改善されない場合は取引を中止する方針です。6月には、シンガポールの金融・サイバーセキュリティ当局が、ベンダーが政府へのサービス提供前に国家サイバーセキュリティ認証を取得することを公開提案しました。
アジアにおけるサプライヤー関連の情報漏えいがサイバー攻撃の大きな割合を占めていることから、継続的な監視への移行が必要だと、サイバーセキュリティ評価プロバイダーSecurityScorecardのCISO、スティーブ・コブ氏は述べています。
「攻撃者は現在、世界市場で好き放題に活動しています。なぜなら、サプライチェーンにほとんど注目が集まっていなかったからです」と彼は言います。「しかし、今が転換点かもしれません。実際にいくつかの変化が現れ始めています。」
アジア太平洋(APAC)地域ではサイバー攻撃が増加しており、しばしばサプライヤーが標的となっています。昨年、サイバー攻撃の3分の1以上(34%)がAPAC地域の組織を標的とし、製造業が最も多く(全攻撃の40%)、IBMの「X-Force 2025 Threat Intelligence Index」レポートによると、これらの攻撃の多くはプロバイダーを悪用したもので、日本では60%、シンガポールでは71%がサードパーティを介した攻撃でした(2025 SecurityScorecard Global Third-Party Breach Reportより)。
この地域の企業にとって、サードパーティリスク管理(TPRM)は必須事項となっていると、アジア太平洋サイバーセキュリティ連合(CCAPAC)事務局長であり、パブリックポリシーコンサルタントAccess Partnershipの多国間関係・データ政策・パートナーシップディレクターであるリム・メイアン氏は述べています。
日本、シンガポール、台湾はサードパーティ侵害率が特に高い。出典:SecurityScorecard
「企業のサイバーセキュリティ体制を定期的に見直すことは、継続的なレジリエンスの鍵です。したがって、キオクシアがサプライヤーを見直すアプローチは、必要不可欠なサプライヤー監査を最終顧客への信頼構築につなげる好例です」と彼女は述べています。「サプライチェーンはマッピングされるべきであり、リスク管理アプローチを採用し、現在のサイバー脅威の状況に対応できるよう再調整する必要があります。」
アジアで活躍する小規模サプライヤー
アジア諸国は小規模サプライヤーが活躍できる経済構造を持つため、TPRMはさらに難しくなります。アジアは歴史的にグローバル化とジャストインタイム生産に注力してきたため、製造・組立・出荷の間の連携やシームレスな移行が重要だとリム氏は述べています。
特にアジア諸国ではサプライヤーの大半が小規模企業であるため、サプライヤーのサイバーセキュリティをテストすることは極めて重要だと彼女は言います。
「これらの機能やサービスの分離・細分化は、より高いカスタマイズや専門化を可能にし、中小企業中心のアプローチを支えています。アジアの企業の大半は中小企業です」と彼女は言います。「しかし、これはサプライヤーの審査が何千社にも及ぶ可能性があることも意味します。なぜなら、それぞれがサプライチェーンの潜在的な弱点となり得るからです。」
半導体メーカーのキオクシアがSecurityScorecardのサービスを使って3,000社のサプライヤーやパートナーのサイバーセキュリティを評価するのに加え、印刷大手の凸版ホールディングスも同様の取り組みを行い、自動監査、現地インタビュー、チェックリストを用いて500社のパートナーのサイバーセキュリティを追跡すると、日経アジアの報道によって伝えられています。同様に、シンガポール政府は、ベンダーがサイバーエッセンシャルズマークまたはサイバートラストマークのいずれかの国家サイバーセキュリティ認証を取得することを、政府契約への参加条件とすることを検討しています。
重要サプライヤーは基準を満たさなければならない
サイバーセキュリティ監査は年次や四半期ごとの実施から、継続的な評価へと移行すべきだとSecurityScorecardのコブ氏は述べます。その一環として、組織はサプライヤーと協力し、両社のレジリエンスを高める関係を築くことを目指すべきだと言います。
「現地訪問を行ったり、特定の証拠収集をサプライヤーと実施したりすることもあるでしょう。特にそのサプライヤーが重要な場合はなおさらです」とコブ氏は述べます。「セキュリティ評価はアセスメントの第一歩として非常に有効であり、それがサプライヤーとのさらなる議論につながります。どのように改善できるかを話し合うきっかけになります。」
そして、人工知能(AI)もサードパーティリスクプロファイルの監視に進出しつつあります。コンサルティング会社EYは、複数の自動エージェントがサプライヤーに関する情報を追跡し、サイバー、地政学、気象などのイベントが1つ以上のサプライチェーンに影響を与えた際に、自動的にリスク軽減策を策定する未来を想像しています。
パンデミック、地政学、気候変動によるサプライチェーンへの度重なる衝撃を指摘し、EYは自動化システムの必要性を主張しています。例えば、東南アジアのサプライヤーで化学物質流出やサイバー攻撃が発生した場合、システムがニュースを追跡し、企業の供給への影響を予測し、必要に応じて代替調達先を提案するとEYのレポートは述べています。
「これがTPRMの未来です」とEYはレポートで述べています。「年次や隔年のリスク評価が、幅広いデータを用いた高度な市場センシングによる24時間365日のリアルタイム監視に置き換わる未来です。」
翻訳元: https://www.darkreading.com/cyber-risk/breaches-rise-asian-orgs-cybersecurity-requirements-suppliers