最安値のベンダーを追いかけるのは気分がいい ― しかしひとたび侵害が起きれば、その「節約分」は一瞬で吹き飛ぶ。本当の勝利は、調達があらゆる意思決定にレジリエンスを織り込んだときに生まれる。
調達チームがささやかな祝賀会を開いている。サプライヤー予算を数百万ドル削減したのだ。CFOは満面の笑みを浮かべ、取締役会は拍手喝采。だが6か月後、サイバーインシデントやサプライ障害が発生し、その節約分は数日のうちに消し飛ぶ。シャンパンの余韻は色あせる。
これは作り話ではない。調達をレジリエンスを守る仕組みではなく、コスト削減の狩場として扱っている取締役会で、毎年起きていることだ。コスト削減が最優先になると、レジリエンスが犠牲になる。特にサイバーレジリエンスにおいては顕著だ。
こうした光景は至るところで見られる。組織は四半期ごとのスライドをよく見せるために調達を最適化する。最低価格を勝ち取り、サプライヤーを統合し、グローバル調達の裁定取引を追い求める。それは、予期せぬ事態が起きるまではうまくいく。ランサムウェア攻撃がベンダーを麻痺させる。サードパーティ侵害が顧客データを危険にさらす。地政学的ショックがデジタルサプライチェーンを混乱させる。すると、脆弱で準備不足なエコシステムから生じる損失は、節約した金額をはるかに上回る。
もしあなたが財務、リスク、調達、セキュリティをリードする取締役なら、メッセージは明快だ。短期的な節約を前提にした調達戦略は、レジリエンスを蝕む。そしてあらゆる弱点を突くサイバー攻撃が横行する時代において、その脆さは自社の存続を賭けた危険な賭けになる。
ここでは、この問題の全体像と、あなたが取り得る対策を示す。
なぜ調達は何よりもコストを優先してしまうのか
調達は、与えられたインセンティブに従って動く。そして多くのインセンティブは、ただ一つの方向 ― コスト削減 ― を指している。
取締役会は即効性のある成果を求める。株主は四半期ごとの利益率を注視する。調達のKPIは、交渉による削減額、サプライヤー割引、契約効率に集中している。一次元的なスコアボードだ。レジリエンスに対してトロフィーを渡す人はいない。
サイバーレジリエンスが調達のダッシュボードに載ることはほとんどない。より安価なクラウドストレージを提供するベンダーは、より強固なサイバー対策を備えた競合よりも、紙の上では安いという理由だけで選ばれてしまう。取締役会もこの盲点を助長している。四半期報告サイクルは、リスク低減という目に見えないコストではなく、即時の節約を評価する。株主は、サプライヤーがバックアップを暗号化しているか、脆弱性にパッチを当てているかは尋ねない。IT契約からいくら削ったのかを尋ねるのだ。
グローバル調達はこの状況をさらに悪化させる。企業は、プライバシー法が弱く、セキュリティ監督が脆弱な低コスト地域に開発やデータ処理をアウトソースする。スプレッドシート上では見事に見える。だが実際には、砂の上に家を建てているようなものだ。
調達には盲点もある。バイヤーはサーバーの単価は比較できても、サプライヤーのインシデント対応成熟度を比較することはほとんどない。サイバーの専門知識が意思決定の場にいなければ、判断は最安値の入札者に流れる。コストが勝ち、セキュリティが負ける。
こうして組織は「安物買いの銭失い」になる。そして攻撃が増え続ける中で、それは「高くつく愚行」へと変わっていく。
節約はリスクを消し去らない。リスクの所在を移すだけだ。今日効率的に見えるものが、明日には露呈する。サイバーレジリエンスは、しばしば最初の犠牲者となる。
- サプライチェーンの脆弱性: サイバー脅威は集中を好む。調達がコスト削減のためにデジタルサービスを単一プロバイダーに集約すると、ひとたび侵害が起きたとき、その影響は業務全体に波及しうる。単一のクラウドベンダーに依存する多数の企業を考えてみてほしい。平時は安くて便利でも、障害やランサムウェア攻撃が起きれば、まとめてダウンしてしまう。
- サイバーセキュリティの弱さ: ベンダーは、ディフェンス・イン・デプス(多層防御)ではなく、コストで選ばれがちだ。「手頃な」ソフトウェアサプライヤーは、基本的な監視や暗号化すら欠いているかもしれない。攻撃者がそこを突破すれば、あなたのシステムは巻き添え被害に遭う。調達は1ドル節約したかもしれないが、ハッカーに扉を開けてしまった。
- オペレーションの硬直性: 安価なITプロバイダーは、契約にレジリエンスを織り込んでいないことが多い。冗長データセンターを持たず、侵害シミュレーションも行わない。数時間ではなく数日単位の復旧しか保証しない。ランサムウェアに見舞われたとき、かつて節約したコストを、ダウンタイムという形で支払うことになる。
- 文化的リスク: 取引ベースの関係は透明性を損なう。常に価格圧力にさらされているベンダーは、ヒヤリハットをすぐに開示しないことが多い。契約解除を恐れるからだ。その遅れが、封じ込めに必要な貴重な時間を奪う。危機時の協働には、単なる契約書ではなく、信頼が必要だ。
調達はお金を節約したと思っている。だが実際に買ったのは、「効率性」に見せかけた脆弱性だ。
安さ優先の調達がもたらす現実のコスト
「安い調達」の神話は、ストレスがかかった途端に崩れ去る。近年の事例は、その厳しい教訓を示している。
SolarWinds侵害。数千の組織が、コスト効率の高いITサプライヤーに依存していた。攻撃者は、そのアップデートに悪意あるコードを紛れ込ませた。政府機関や企業が世界中で侵害された。調達チームは数百万ドルを節約したかもしれない。しかし被害額は数十億ドル規模に達した。
Kaseyaランサムウェア攻撃。多くの中堅企業は、手頃な価格であることからKaseyaのリモート管理ツールに依存していた。攻撃者はそれを乗っ取り、数百の顧客にランサムウェアを拡散させた。単一で安価なツールという調達ロジックが、攻撃者にとってのスケーラブルな武器となった。
Colonial Pipelineハック。多要素認証のない、1つのVPNアカウントが侵害されただけで、重要インフラの停止につながった。調達は、十分なサイバー審査を行わないまま、重要システムをアウトソースしていた。真のコストは身代金ではなく、システム全体の混乱と評判の失墜だった。
COVID-19とデジタルの脆弱性。病院や政府機関は、リモートワークを拡大するためにITサービスを急拡大させた。多くが低コストのプロバイダーを選んだ。数か月のうちに、攻撃者は脆弱なVPN、未パッチのシステム、保護されていないコラボレーションツールを悪用した。節約は、サイバーインシデントの波へと姿を変えた。
自動車向け半導体不足とサイバーの交錯。チップサプライヤーが集約される中、単一メーカーへのランサムウェア攻撃が、世界の生産に連鎖的な影響を与えた。調達によるリーンな調達戦略が、被害の「爆心地」を拡大させたのだ。
これらは例外ではない。調達においてサイバーレジリエンスを無視した、予測可能な帰結である。
どの事例も同じ真実を物語っている。レジリエンスに支払う「プレミアム」は、節約の幻想をはるかに上回る。売上損失、規制罰金、評判の失墜、顧客離れ ― 本当の請求額は、いつだって節約額より大きい。
コストとレジリエンスのバランスをどう取るか
これは、節約をやめろという話ではない。サイバーレジリエンスを伴わないコスト効率は、偽りの経済性だと認識せよ、という話だ。
あなたの課題は、コスト効率とサイバーレジリエンスが互いに打ち消し合うのではなく、相互補強するように調達を再設計することだ。
リスクベースの調達
調達を「掘り出し物探し」ではなく、リスクマネジメントとして扱うべきだ。すべてのサプライヤーは、あなたのシステムへの潜在的な出入口である。ある扉には鍵や警報、カメラが設置されているが、別の扉は開け放たれている。調達にリスク評価をさせず、最安値を追わせるだけなら、攻撃者に「どうぞお入りください」と言っているようなものだ。
実務的なステップ:
- すべてのRFPにサイバーセキュリティのデューデリジェンスを必須化する。パッチ適用頻度、インシデント対応プロトコル、SOC 2/ISO 27001認証、ゼロトラストの採用状況などを確認する。
- ベンダーをリスク階層で分類する。文房具サプライヤーに、クラウドサービスプロバイダーと同じレベルの精査は不要だ。
- 最低限のサイバー基準を設ける。MFA、暗号化、脆弱性管理といった基本的なセキュリティコントロールを満たせないベンダーは、価格にかかわらず、そもそも候補にすべきではない。
これはコストの「水増し」ではない。コストの「未然防止」である。
レジリエンス指標
節約だけを測れば、調達は節約だけを達成しようとする。スコアボードを拡張せよ。
レジリエンスのKPIとして考えられるもの:
- 平均検知時間(MTTD): サプライヤーはどれだけ早くインシデントを検知できるか。
- 平均対応時間(MTTR): 侵害をどれだけ迅速に封じ込められるか。
- 復旧時間目標(RTO): システムやサービスをどれだけ早く復旧できるか。
- パッチ管理サイクル: 重大な脆弱性を是正するまでの平均時間。
- 開示スピード: ベンダーは侵害や露出をどれだけ早く報告するか。
四半期ごとの取締役会報告で、契約による節約額と並べてこれらを報告することを想像してほしい。調達リーダーは、レジリエンスを「厄介事」ではなく、自分の職責の一部として捉えるようになる。
部門横断のガバナンス
調達だけではサイバーリスクを乗り切れない。CFO、CRO、CIO、CISOが同じテーブルにつく必要がある。
- CFOは、節約と潜在的損失エクスポージャーのバランスを取りながら、ビジネスケースの妥当性を担保する。
- CROは、サプライヤー選定を企業全体のリスク許容度の文脈で位置づける。
- CIOとCISOは、デジタルサプライヤーが組織のサイバーおよびオペレーショナルレジリエンス基準を満たしているかを確認する。
このアラインメントがなければ、調達の意思決定はコスト偏重に流れてしまう。アラインメントがあれば、意思決定は戦略に根ざしたものになる。
戦略的サプライヤーパートナーシップ
レジリエンスを築くのは、取引ではなく関係性だ。サプライヤーをコモディティとして扱えば、彼らもコモディティのように振る舞う。危機の際には、契約で義務づけられた最低限のことしかしないだろう。
Procurement Magazineの記事は、調達が取引型のやり取りから、信頼・共有価値・レジリエンスを重視した深いサプライヤーパートナーシップへとシフトしつつあると主張している。この記事は、こうした関係性が、調達機能にイノベーションの推進、リスク管理、持続的なビジネスインパクトの創出を可能にすることを示している。
長期的なパートナーシップを育めば、彼らは共同のレジリエンスに投資する。インシデントを迅速に開示し、脅威インテリジェンスを共有し、あなたの復旧を優先してくれる。
具体的なアクション:
- 稼働率、対応時間、侵害通知などをカバーする、レジリエンス重視のSLAを締結する。
- 四半期ごとに合同のセキュリティレビューを実施する。
- 合同のレッドチーム演習やテーブルトップ演習を行う。
- アカウントマネージャーを超えたエスカレーションチャネルを設け、危機時にはCISOやCTO同士が直接コミュニケーションできるようにする。
パートナーシップは、当初はコストが高くつく。しかし、混乱が起きたとき、その投資は大きなリターンを生む。
シナリオテスト
調達の意思決定は、ストレステストに耐えなければならない。契約がプレッシャー下でも機能すると「仮定」してはならない。検証するのだ。シミュレーションを実施しよう:
- クラウドプロバイダーがランサムウェアに見舞われたら、何が起きるか。
- SaaSパートナーは、露出をどれだけ早く通知してくれるか。
- アウトソース先の開発者がデータを漏えいした場合、どれだけ迅速にアクセスを遮断できるか。
- 物流パートナーは、港湾でサイバー障害が起きたとき、迂回ルートを確保できるか。
こうしたテストは、重大な結果を招く前の早い段階で弱点を明らかにする。また、サプライヤーに対し、レジリエンスが「交渉の余地のない条件」であることを示すシグナルにもなる。
調達文化にサイバーレジリエンスを埋め込む
最も難しいのは、マインドセットの転換だ。調達は長年、コストを「英雄指標」として扱ってきた。この物語をリセットする必要がある。
- コスト削減と同じ熱量で、レジリエンスの成功を称賛する。
- サプライヤーの強固なセキュリティ姿勢が、どのように障害を回避したかを強調する。
- 調達担当者にサイバーの基礎を教育する。MFA、パッチサイクル、ゼロトラストが実務上何を意味するのかを理解させる。
- レジリエンスをキャリアパスの一部に組み込む。単なる節約ではなく、持続的な価値を実現した調達リーダーを評価・昇進させる。
この文化的変革により、調達は「掘り出し物ハンター」から「レジリエンスビルダー」へと姿を変える。そしてそれこそが、レジリエンスを持続可能なものにする方法だ。
得られるリターン
調達にサイバーレジリエンスを織り込めば、損失を回避するだけではない。優位性を生み出せる。競合他社より早く復旧し、顧客の信頼を守り、他社がつまずいている間も事業を継続できる。これは追加コストではない。競争優位だ。
レジリエンスは追加コストではない。それは戦略的な保険であり、次の侵害で節約分が蒸発するのを防ぐ理由そのものだ。
短期的な調達の節約は、取締役会のレポート上では見栄えがいい。だがサイバーインシデントが発生すれば、その節約はしばしば損失へと反転する。数百万ドルの節約が、数十億ドルの損失に変わった理由を説明する立場にはなりたくないはずだ。
結論は明らかだ。コスト効率とレジリエンスは敵ではない。適切にガバナンスされれば、両者は味方同士だ。調達は、「最も安いサプライヤーが勝ち」から「最も持続可能なパートナーが勝ち」へと進化しなければならない。
リーダーとして、あなたが取るべき行動は明確だ。調達のミッションを再定義し、サイバーレジリエンスをスコアボードに加えよ。コスト以外の指標を求めよ。意思決定をストレステストせよ。調達を、値切り屋からレジリエンスビルダーへと引き上げよ。
「安物買いの銭失い」は、単なる不注意ではない。存在そのものを脅かす行為だ。
この記事は、Foundry Expert Contributor Networkの一部として公開されています。
参加を希望しますか?
