矢野経済研究所
(画像=denisismagilov/stock.adobe.com)

3月22日、政府のサイバーセキュリティ戦略本部 重要インフラ専門調査会は第28回会合を開催、「重要インフラのサイバーセキュリティに係る行動計画(案)」について討議がなされた。行動計画は5年ぶりの抜本改定、経済安全保障の観点から企業に対して高度な組織的対応を求めることになる。

2021年5月、米国最大の石油パイプラインがサイバー攻撃によって寸断されたことは記憶に新しい。国内では3月1日、トヨタの仕入れ先部品メーカー「小島プレス工業」への攻撃によりトヨタの国内14工場の全28ラインが止まった。
内閣サイバーセキュリティセンターは経済産業省、金融庁、警察庁など6省庁との連名でただちに “注意喚起” を通達、「中小企業、取引先等、サプライチェーン全体を俯瞰し、発生するリスクを自身でコントロールできるよう適切な対策の実施」を求めた。そう、トヨタ本体ではなくサプライチェーンの一画に対する攻撃の波及効果は絶大だった、ということだ。

供給網全体がITでつながっている以上、リスクはどこにでもある。一箇所でも脆弱さが残っていれば供給網全体がリスクに晒される。とは言え、大手メーカーが取引先のその先の下請企業を含む供給網の全体像を把握出来ているかと言えば、そうではないのが現実だ。加えて、供給網の末端にある中小企業のITリテラシーは決して高くないだろうし、そもそも独自に対策を講じるための財務上の余力は乏しい。

供給網全体のリスクを鑑みれば、供給網の起点となる大手メーカーのセキュリティシステムに供給網全体を組み入れることが有効であろう。ただ、その場合、供給網全体が固定化するリスクを孕む。それは実質的な参入障壁にもなり得るし、中小下請事業者に対する優越的立場がより強化される懸念も生じる。

とは言え、サイバー攻撃は止まない。インフラや政府機関はもちろん、自動車、半導体、防衛産業から食品業界やアニメ制作会社に至るまでターゲットは広がる。海外現地法人やその取引先も狙われる。攻撃する側も単なる愉快犯からプロの犯罪集団や国家が支援する組織まで多様だ。あらゆるモノがインターネットにつながる社会である以上、サイバー攻撃によるリスクは避けられない。ハード、ソフト両面における中小企業支援も含め、社会全体でサイバーセキュリティのコストを受け止める必要がある。

今週の“ひらめき”視点 3.20 – 3.24
代表取締役社長 水越 孝