この記事でわかること
- サプライチェーン攻撃とは何か、なぜ中小企業が「踏み台」にされるのか
- 取引先からセキュリティチェックシートが届く理由の本質
- 「もらい事故でした」では済まない、中小企業に問われる3つの説明責任
- 取引先に”説明できる状態”を作るための3つの視点
近年、自社のセキュリティ対策はきちんとやっているが、取引先経由で被害が及ぶといった事故が増えています。
原因は、企業活動の構造そのものが変わったことにあると考えられます。これは、自社ネットワークだけを守っていれば安全、という前提が崩れたことによるものです。
この記事では、その背景にある「サプライチェーン攻撃」の仕組みと、取引先からセキュリティチェックシートが届く理由の本質、そして事故が起きたときに中小企業に問われる説明責任を整理します。
「自社は対策している」のになぜ被害に遭うのか
かつての企業のセキュリティ対策は、「自社のネットワークを守る」ことが中心でした。自社内のシステムを整備し、社員のリテラシーを高めれば、一定の安心感が得られる時代があったのは事実です。
しかし現在、多くの企業は業務の一部をクラウドサービスや外部委託先に依存しています。ITベンダー、業務委託先、SaaS、取引先など、これらなしに事業を回すことはもはや困難な時代です。
問題は、こうした外部とのつながりが、自社では直接コントロールできないリスクを生んでいる、ということです。
自社の対策がどれだけ充実していても、つながっている先の1社で事故が起きれば、その影響が自社に波及します。
サプライチェーン攻撃とは:中小企業が「入口」にされる構図
「サプライチェーン攻撃」とは、攻撃者が標的企業を直接狙うのではなく、その取引先や委託先を経由して侵入を試みる手法です。
攻撃者の視点から見ると、セキュリティが強固な大企業に直接侵入するより、取引関係にある中小企業を踏み台にする方がはるかに効率的です。
中小企業は、大企業と比べてセキュリティ対策が手薄になりやすい一方で、大企業のシステムやデータ、そしてその”中の人”への接続点を持っています。
この非対称性が、中小企業が狙われる理由です。
IPA(独立行政法人 情報処理推進機構)の「情報セキュリティ10大脅威」でも、サプライチェーンを悪用した攻撃は毎年上位に挙げられています。詳細はIPAの公式ページをご参照ください。
※なお、この記事で取り上げるのは一般的な解説です。個別の技術的対策については、各種ガイドラインや専門家にご相談ください。
「もらい事故でした」では済まない、問われる3つの説明責任
サプライチェーン攻撃による事故は、「自社ではなく取引先に原因がある」というケースが少なくありません。しかし現実には、「うちは直接攻撃されたわけではない」という説明は、取引先や顧客に対してほとんど通用しないといえます。
問われるのは、次の3つです。
① 初動対応の説明責任
取引先や顧客が最初に見るのは「事故の内容」より「御社がどう動いたか」です。連絡が遅い、説明がかみ合わない、状況把握ができていない・・・こうした初動の乱れは、事故そのもの以上に信頼を損なうおそれがあります。
「対応の姿勢」が問われる場面で、準備がないと致命的な遅れにつながります。
② 委託先管理の義務(個人データを扱う場合)
個人データの取扱いを外部に委託している場合、個人情報保護法は委託元に対して委託先への「必要かつ適切な監督」を求めています(個人情報保護法25条)。
「委託先が事故を起こした」のだとしても、委託元としての管理責任が免除されるわけではありません。御社が個人データを「送る側」でも「受ける側」でも、この観点は無関係ではありません。
③ サプライチェーン管理の不備としての経営責任
経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」では、経営者に対してサプライチェーン全体のセキュリティ対策推進を求めています。
つまり、「取引先で起きたことだから」は経営上の言い訳にはなりません。事前にどう備えていたか、事後にどう対応したかが、経営者として問われます。
経営者が具体的に問われる法的リスクの詳細は、セキュリティ対策に消極的な経営者が問われる責任とは?任せるだけでは守れない法的リスクで整理しています。
なぜ今、取引先からセキュリティチェックシートが届くのか
「長年の取引がある会社からセキュリティチェックシートが届いた」という状況は、ここ数年で急増しているようです。
この背景には、大手企業側の事情があると考えられます。
大手企業は「サイバーセキュリティ経営ガイドライン」や個人情報保護法上の委託先監督義務を踏まえ、取引先のセキュリティ状況を定期的に確認する仕組みを整えています。また、ISMS(ISO 27001)等の認証を取得している企業は、認証維持の要件として委託先管理が求められます。チェックシートの送付は、こうした仕組みの一環です。
つまり、チェックシートが届くのは「御社を疑っているから」ではなく、大手企業が自社のサプライチェーン全体のリスクを管理するために必要な確認をしているからです。
そして重要なのは、チェックシートへの回答が「御社のセキュリティ対策の状態を説明できるかどうか」を問うものだという点です。
実際のところ、「対策はしているが、文書化・言語化されていない」というケースは中小企業に非常に多いのではないでしょうか。
設問に答えられないのは、対策が何もないからではなく、対策を「説明できる状態」に整えていないことが原因であるケースが大半です。
チェックシートの全体像・届いたときの対応ステップは、セキュリティチェックシートとは?届いたときの見方・よくある項目・対応の流れで詳しく解説しています。
取引先に”説明できる状態”を作る3つの視点
チェックシートへは、事前の準備なしでは対応・回答できない問いを突きつけてくるものも少なくありません。
逆に言えば、日頃から以下の3点を整えておくだけで、回答精度と対外説明力は大きく変わるといえます。
① 何を持っていて、どこにつながっているかを把握する
「御社が取り扱っている情報の種類と保管場所を教えてください」
「利用しているクラウドサービスや委託先を教えてください」
チェックシートでは、こうした設問が必ずと言っていいほど登場します。
この問いに答えられない会社は、他の設問にも一貫して答えられません。なぜなら、何をどこで扱っているかが分からないと、「どこまで対策しているか」も整理できないからです。
情報資産(顧客情報、契約情報、業務データ等)の保管場所と、外部との接点(利用中のSaaS、委託先、クラウド等)を一覧化することが、説明できる状態への第一歩です。
② 「やっている」を「証明できる」に変える
セキュリティ対策を実施していても、証跡(裏付け資料)がなければ取引先には伝わりません。「パスワードポリシーはありますか?」という設問に「あります」と答えても、規程も設定画面も示せない状態では、取引先は評価のしようがありません。
「やっている」と「証明できる」は別物です。
対策を実施しているのであれば、その根拠となる資料を示せる状態に整えることが、チェックシート対応の実質的な作業の多くを占めます。
証跡の考え方・具体例・ない場合の対処は、セキュリティチェックシートの”証跡”とは?提出を求められたときの考え方・具体例・ない場合の対応で解説しています。また、頻出する設問とその書き方は取引先セキュリティチェックシートの頻出質問20選:中小企業の”迷わない書き方”例を参照してください。
③ 事故が起きたときの「最初の動き」を決めておく
サプライチェーン攻撃の被害が及んだとき、御社に最初に求められるのは「状況の説明」と「初動の連絡」です。
誰に・何を・いつ報告するか。
これが決まっていない会社は、取引先への連絡が遅れ、「対応の遅さ」で信頼を失いかねません。
見落としやすい点かもしれませんが、事故の内容より「対応の姿勢」で評価が下がるケースは現実に起こり得ます。
だからこそ、初動の型を事前に決めておくことが、事故発生時の被害を最小化する最も確実な方法です。
初動整備を60分で行うサービスについては、取引先対応・初動整備60分|30分で答えられる状態へをご覧ください。
こんな状態なら、一度整理することをお勧めします
上記の3点を踏まえたうえで、なぜ「説明できない状態」が生まれるのかを考えると、多くの場合は「対策が属人化している」「担当者が決まっていない」「文書として残っていない」といった構造的な問題に行き着くことが多いと思います。
以下のような点で、御社に当てはまるものがあれば、一度立ち止まって考えることが求められます。
- 取引先ごとにチェックシートの回答内容がブレている
- 証跡を求められると、何を出せばよいか分からず混乱する
- 「Yesと書いていいか」の判断基準が社内に誰もいない
- 差し戻しを受けたが、何が不十分だったのかが分からない
- 事故が起きたとき、誰に・何を・いつ連絡するかが決まっていない
- 「はい」と回答したが、後から聞かれたら答えられる自信がない
これらは対策の意欲や能力の問題ではなく、「整理・文書化・言語化」が追いついていないことから生まれます。
そして、整理することは一から作り直すことではなく、今ある対策を「説明できる状態」に整えることであり、それこそが多くの場合において必要なものだといえます。
まとめ
- サプライチェーン攻撃とは、取引先を踏み台にして標的企業に侵入する手法。防御が手薄な中小企業が「入口」にされやすい
- 取引先からチェックシートが届くのは、大手企業がサプライチェーン全体のリスクを管理するための仕組みの一環
- 他社起因の事故でも、初動対応・委託先管理義務・経営者の備えという3つの観点から説明責任が問われる
- 「対策していない」のではなく「説明できる状態になっていない」ケースが多く、整理することで対応できる
チェックシートが届いていて対応に困っている方は、まず30分の無料相談で現状をお聞かせください。登録セキスペ&行政書士が、回答の進め方から優先すべきポイントまで整理します。
まだ時間に余裕があり、自社の現状を確認したい方は、こちらからどうぞ。
関連記事
- セキュリティチェックシートとは?届いたときの見方・よくある項目・対応の流れ
- 取引先セキュリティチェックシートの頻出質問20選:中小企業の”迷わない書き方”例
- セキュリティチェックシートの”証跡”とは?提出を求められたときの考え方・具体例・ない場合の対応
- セキュリティ対策に消極的な経営者が問われる責任とは?任せるだけでは守れない法的リスク
- 取引先対応・初動整備60分|30分で答えられる状態へ
情報処理安全確保支援士(登録セキスペ)/行政書士/個人情報保護士
ビーンズセキュリティサービス代表(ビーンズ行政書士事務所内)
「セキュリティが詳しくない経営者でも、統制できる仕組みを作る」をテーマに、情報処理安全確保支援士と行政書士のダブル国家資格を持つ専門家。中小企業の経営者・役員向けに各社に適したセキュリティの”はじめの一歩”をご提案します。
▶ お問い合わせ