「サイバーセキュリティは経営課題」と常々申し上げてきたのだが、この数年大企業経営者にこの言葉は浸透してきているとの実感はある。ただこれを意識して対策を打ち始めた経営者さんの悩みは「自社だけ頑張っても取引先含めたサプライチェーン全体のリスクが減らない」ことである。

 

　そこで数年前からサプライチェーン・サイバーセキュリティは、重要課題として議論されるようになった。ただ方々での議論を聞いていると、前提としているリスクや攻撃の方法が合致していない時もあった。私なりに整理してみると、

 

　　　　　　　　

 

１）取引先になりすましたメール等で攻撃される

　⇒　特にサプライチェーンと銘打つべきかは微妙

２）納入される部品・製品に問題が潜んでいる

　⇒　主要リスクのひとつ。これらを見過ごしたことで、自社だけでなく顧客にも迷惑をかける可能性がある

３）主要な納入業者が攻撃を受けて、部品やサービスが停まる

　⇒　これも主要リスクのひとつ。いわゆる事業継続問題で、重要インフラ事業者は特に注意を払う必要がある

４）納入される原材料等の生産過程で、児童労働など人権に関わる問題がある

　⇒　レピュテーションリスクとしては甚大になる可能性があるが、サイバーセキュリティかどうかは悩ましい

 

　そこで、２）と３）のリスクを主に検討することになるが、検討方針や担当部署は異なる。２）のケースは、日本の製造業のお家芸でもある品質評価に近いものだ。ただ従来の品質評価の手法では、潜在脅威を発見することは難しい。信頼できる部品・製品であることの新しい基準が求められる。

 

　３）のケースは、従来から分散発注という対処をしてきた。同じ部品・製品・サービスを納入できる事業者を複数用意しておくことだ。ただ世界経済全体として「Winner Takes All」の寡占化が進んでいるために、これが難しくなっているケースが増えている。

 

　以降、これらのリスクについての考察を、このカテゴリ（サプライチェーン）の記事で続けることにする。