増大するサプライチェーンセキュリティのリスク

KPMGが発表した「KPMGグローバルCEO調査2021」によると、企業経営者はサイバーセキュリティについて、「もはや短距離走ではなく、ますます巧妙になるサイバー犯罪者に追いつくための長距離走だ」と認識していることがわかります。
しかし、DX（デジタルトランスフォーメーション）が止まることなく進み、それに対応するサードパーティセキュリティも複雑化していることから、今日の「マラソン選手」は、持久力とスピードの両方を高める必要があります。

サードパーティのサプライヤーやテクノロジーパートナーを活用し、クラウドベースのソリューションや人工知能を活用した設計、生産、サポート、サービスのプロセスを導入することで、企業は大きなイノベーション、スピード、効率性につなげています。
サプライチェーンのデジタル化は、少なくとも10年以上前から進んでいましたが、新型コロナウイルス感染症（COVID-19）が速度、可視性、柔軟性の向上を促したことで、デジタル化は確実に加速しました。実際、「KPMGグローバルCEO調査2021」の回答者は、今後3年間の野心的な計画を表明しています。約半数の回答者がサードパーティのクラウド技術やデータプロバイダーとの提携や、革新的なスタートアップ企業とのコラボレーションを計画しており、7割の回答者がDXのペースを維持するためには「新たなパートナーシップが不可欠」と答えています。

このような急速なイノベーションは、しばしば拙速に実施されることがあります。つまり、企業はサプライチェーンのアウトソース、連携、自動化のために莫大な投資を行いますが、この連携による新たなリスクを特定し、軽減するために必要なデューデリジェンスを経ていない可能性がある、ということです。
これらのサイバーリスクに対応するための、第三者によるリスク管理を更新する手順を踏んでいないことが多いのも事実です。また、サプライチェーン全体の早期警戒機能を実現するための、補完的なセキュリティ投資も行っていません。
サプライチェーンのデジタル化が急速に進んだことを考えれば、こうしたギャップが生じるのも無理はありません。KPMGの推定では、Fortune 500企業の平均的なベンダー関係は少なくとも10,000社あり、社内のセキュリティおよびリスク管理機能の多くはDX化のスピードに追いつくのに苦労しています。

特に、「KPMGグローバルCEO調査2021」の回答者の58%が、将来のサイバー攻撃に対し「非常によく準備ができている」「十分に準備ができている」と回答していることから、今日のビジネスリーダーがサプライチェーンのリスクを十分に認識しているのか疑問に思うかもしれません。おそらく、近年追加されたサプライチェーンの接続については考えていないのではないでしょうか。

幸いなことに、「KPMGグローバルCEO調査2021」では、ビジネスリーダーたちがサプライチェーンの課題を把握しつつあるという理由が示されています。例を挙げましょう。

今後3年間で「デジタルレジリエンス」を構築するために計画している主なステップについて聞いたところ、48％が「サプライチェーン／サプライヤーエコシステムのセキュリティとレジリエンス」に焦点を当てると答えました。40%は「安全性と回復力のあるクラウドベースのテクノロジーインフラを開発するために投資する」としています。また、79%が「パートナーのエコシステムとサプライチェーンを保護することは、組織のサイバー防御を構築するのと同じくらい重要である」と回答しています。
これらは、企業がサプライチェーンの安全性を確保するために必要な「キャッチアップ」のための投資に向けた準備ができていることを示すポジティブな指標です。それは、憂慮すべきサイバー攻撃のニュースに反応しているのか、あるいは企業自身がサイバー侵害の被害にあっているのか、あるいは将来的に規制当局からの厳格な要求を回避したいと考えているのかを問いません。

自社のデジタルサプライチェーンを守るために、継続したマラソンをより速いペースで走るというのは大変なことだと思われるかもしれませんが、この課題は重要なステップに分けて考えることができるということを覚えておいてください。

認識と受容
ほとんどの企業は、その分野のデジタル成熟度に応じて、この課題に対する認識と受容をすでに得ています。KPMGの調査によると、経営者は行動を起こす準備ができており「ビジネスを難攻不落の要塞に変える」という古い考え方を捨て始めています。

範囲の理解
次のステップは、自社のサプライチェーンの規模と範囲を理解することです。具体的には、ベンダーは誰か、ベンダーとはどのようなつながりがあるか、それによってどのような依存関係が生じるかを分析します。大半の大手企業は、少なくともこれらの関係を特定する強固なサードパーティリスク・プログラムとポリシーを導入しており、サプライヤーのリスク評価を行うプロセスも確立しています。しかし、これらの評価プロセスについて、サプライチェーンのデジタル接続の現実を反映したものに更新する必要があるかもしれません。

リスク評価の実施
包括的なリスク評価を行うことで、経営者はセキュリティシステムの機能に対する予算を、事後的ではなく、テクノロジーやサプライチェーンプロジェクトの開始時に前もって設定することができます。また、既存システムのセキュリティ緩和策に資金を投入することについて、重要なシニア層の「賛同」を得ることもできるでしょう。

データの深堀り
多くの場合、正確なリスク分析の障害となるのは、明確で消費可能なデータの不在です。契約書やリスク評価書の書式が統一されていなかったり、互換性のないシステムにアップロードされていたりと、さまざまなデータが散在していますが、これらのデータをまとめて、サプライチェーン全体を明確に把握する必要があります。
想定される未来に向けて サプライチェーンとその基礎となるデータを一元的に把握することで、リスクをランク付けし、最も適切な行動を決定することができます。その後、組織は、望ましい将来の状態を反映した重要なサイバーセキュリティとリスク管理のインフラストラクチャの構築を開始することができます。

継続的なモニタリング
ビジネスリーダーにとって重要なのは、これらのアクションは、継続的かつ長期的なマラソンのような地道な努力の一環として行われるべきだということです。この考え方は、KPMGがクライアントにKPMG独自の継続的評価・監視プラットフォームを紹介することで定着し始めています。このプラットフォームでは、サプライヤーとの関係、デジタル接続性、進化するサイバーリスクなど、企業の刻々と変化する状況に対応するために、サードパーティリスクが自動化され、継続的に整理されます。
実際、「KPMGグローバルCEO調査2021」の回答者の34%が、「セキュリティとテクノロジーのリスク管理を合理化・最適化するために自動化を導入する予定だ」と述べており、このようなソリューションは大きな関心を集めています。

マラソンルートの各段階にサイバー防御を組み込む
企業は深く浸透したサイバーセキュリティ文化を構築する必要があります。そこでは、「セキュリティは全員の仕事」という共通のマントラがあり、製品やサービスの設計にセキュリティが組み込まれています。それと並行して、サプライチェーン全体を見渡すことができるように、包括的なリーダーシップが必要です。注目すべきは、このような全体的な監視を可能にする「サプライチェーンCISO」を任命する大手企業が、すでに登場していることです。

サプライチェーンのデジタル化が不可逆的に進み、進化するサイバー脅威に対応するためには、ゆっくり安定して走るだけでは不十分です。現実を踏まえ、すべての組織はレース戦略を練り直す必要があります。幸いなことに、「KPMGグローバルCEO調査2021」の調査結果によると、今日のビジネスリーダーたちは、サイバーレジリエンシーのビジョンを受け入れ、先の長い道のりに向けてペースを加速させる準備ができているようです。

本レポートは、KPMGインターナショナルが2021年12月に発表した「Sealing security supply chain gaps」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。

原文はこちらから（英語）
Sealing security supply chain gaps

KPMGグローバルCEO調査2021