Risk Management
【Web特別版】
7月号
- 【Web特別版】裁判所、カリフォルニア州IFPAの保険金詐欺判例において先願主義を明確にする
- 【Web特別版】サプライチェーンをより安全にする方法
【Web特別版】サプライチェーンをより安全にする方法
ロバート・ドッジ [*]
今日の市場においては、組織は潜在的なサプライチェーンの脅威を真剣に受け止めなければ、壊滅的な攻撃に対して脆弱であるリスクを負わなければならない。企業のサプライチェーンの効率性と安全性は、事業全体の健全性にとって極めて重要である。これらの複雑なシステムは、適切に保護・管理されれば、生産サイクルにおけるコスト、無駄、時間を最小化するのに役立つからである。
組織のサプライチェーンは、物理的な脅威とサイバー攻撃の両方に直面することがよくある。サプライチェーンはインターネットに大きく依存しているため、サイバー攻撃に対して脆弱であり、調達、ベンダー管理、サプライチェーンの継続性、さらには製品の品質にも影響を与える可能性がある。サプライチェーンに対する物理的な脅威には盗難、妨害行為、海賊行為など、より伝統的な方法による被害があり、これらは社内外から発生する可能性がある。例えば、海上で貨物が海賊にハイジャックされた場合、これは外部からの脅威である。また、不満を持つ従業員が輸送中の在庫を盗む、あるいは妨害することを決めた場合、これは内部の脅威である。とはいえ、企業のサプライチェーンに対する物理的セキュリティの脅威を軽減する方法を検討する場合、内部と外部の両方の脅威要因を検討することが重要である。
セキュリティリスクを軽減する
サプライチェーン・セキュリティの責任は誰が負うのか。サプライチェーンのリスクマネジメントについて、組織とサプライヤーのどちらに責任があるのかを明確にすることが重要である。このためには、セキュリティ部門、組織のリーダー、第三者であるベンダーとの間で卓越したコミュニケーションが必要である。サプライヤーに対する適切なデューデリジェンスが行われないと、リスクが増大する可能性がある。責任の所在を明確にした上で、企業のセキュリティリスクマネジメントに精通したセキュリティ・チームと連携することが最善である。
9月11日の同時多発テロは、あらゆる業界のセキュリティマネジメントに大きな影響を与えた。それ以来、組織はセキュリティ・プログラムを積極的に見直し、企業のセキュリティマネジメントに対するより正式なアプローチを開発してきた。セキュリティ・チームは、社内・社外を問わず、サプライチェーンのセキュリティに対してリスク・ベースのアプローチを取る必要がある。彼らは、組織に対して、守るべきものは何か、潜在的な脅威は何か、どのようにすれば最も効率よく保護できるのか、といった質問を投げかける。これらの質問は、保護すべき資産を特定し、それに優先順位をつけること、企業にとってのセキュリティリスクとそれらの資産との関係を理解すること、それらの資産に対する最も深刻なセキュリティ脅威とリスクから保護するための必要かつ適切で現実的な措置をとること、そして最後に、サプライチェーンシステム全体のセキュリティを継続的に改善し向上させることに役立つ。
以下は、企業がサプライチェーン・セキュリティの改善を検討するときの9つのベストプラクティスである。
1. サプライヤー、従業員およびパートナーのデューデリジェンス: 企業は、サプライヤーに対するデューデリジェンスの一環として、セキュリティ方針および手順の見直しを含めるべきである。このデューデリジェンスにはサプライヤー組織のリスク評価を含めるべきであり、これには、セキュリティ方針と手順のレビューのほか、原産国リスク、業界リスク、実体リスク、財務リスクの分析が含まれるべきである。
2. 身元確認: 可能であれば、商品・物資の加工・流通過程の管理に関わる従業員の身元調査を行うことも重要である。組織は、輸送パートナーの可能性を証明するために、認可された第三者監査人を用いて、輸送パートナーを監査する必要がある。
3. テスト: 可能であれば、組織はサプライチェーンの様々なポイントに沿って侵入テストと脆弱性テストを実施する必要がある。脆弱性評価は企業にシステムの欠陥を警告し、それらの欠陥がどこで起きているかをピンポイントで特定する。侵入テストは脆弱性を悪用して、どの欠陥が脅威となり得るかを判断しようとするものである。
4. 訓練: サプライチェーンで働く従業員は、環境の変化や矛盾に注意を怠らないよう訓練されるべきである。彼らは常に状況を把握し、自分がどこにいるのか、周りで何が起こっているのかを知り、より良い意思決定を下すために注意力と情報収集力を高める必要がある。
5. 追跡: ベストプラクティスとして、すべての組織は出荷の記録と追跡を行う必要がある。GPS機器は貨物、海上コンテナ、航空貨物コンテナに取り付けられ、さらには個人を保護するために人に装着することができる。これらのGPS機器からの信号は、セキュリティ・オペレーション・センターで監視することができる。貨物がどこにあっても、何かが起これば、それを追跡して対応する生身の人間がいることになる。
6. 設備・機器: 企業は、コンテナドアを内側から監視するスマートコンテナ内部検知や環境モニタリング技術などのロックや不正開封防止シールを実施すべきである。これらの先進的なシステムは、追跡・移動経路確認を超えて、それぞれのドアを独立して監視し、湿度、温度、露点、光などの環境変化を感知することができる。鉄道の場合、トレーラーの盗難を阻止するためにエアブレーキロックアウトを利用するシステムがある。このシステムはトレーラーブレーキのロックと解除を可能にし、資産の不正な移動を防止する。
7. セキュリティ護衛者: より高価な貨物の場合、地域によってはセキュリティ護衛者が必要となる場合がある。この護衛ではルート計画や危機増加対応手順など、あらかじめ定義されたセキュリティ手順を備えているべきである。また、出荷係、ドライバー、セキュリティ・オペレーターと継続的に連絡を取り合い、すべてのセキュリティ護衛者は入念な審査を受け、現地の知識を持ち、標準化された訓練を受けるべきである。
8. 対応計画: すべての組織は、発見された脅威に対して迅速に行動するための対応計画を備えるべきである。セキュリティ・チームは積荷修復作業と捜査のプロセスを支援する、完全に補償された対応サービスを提供すべきである。貨物での警告信号を受けた場合、オペレーターは直ちに警察の対応を開始し、警察当局に対して実況での追跡情報を提供すべきである。
9. 貨物回収計画: もし、貨物が予定していない場所に行き着いてしまった場合、組織は貨物を取り戻すための努力をする必要があるが、それは必ずしも容易なことではない。セキュリティ・オペレーション・センターのオペレーターは、貨物回収に特化している。24時間365日のライブ監視と集中型事故対応管理により、迅速な警察対応のために、電子的および人的資産を含む危機増加対応手順に基づいて作業している。また、地元の警察と連携するため、事故対応チームを立ち上げる場合もある。サプライチェーンがグローバルであることを考えると、これらの機能をすべて備えたグローバルセキュリティパートナーと協力することは、経営資産である。
トピックス
サイバー、事業中断、リスクマネジメント、セキュリティ、サプライチェーン
本翻訳は“How to Make Your Supply Chain More Secure”, Risk Management Site (https://www.rmmagazine.com/articles/article//2022/07/07/how-to-make-your-supply-chain-more-secure), July, 2022,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ロバート・ドッジはプローズガー・グローバル・リスク・サービス社EO。リスクマネジメントとセキュリティ戦略について組織に助言するチームを率いている。
- 【Web特別版】コンプライアンス分析手法がうまく機能するようにする
- 【Web特別版】気候変動が再保険とILS市場に与える影響
- 【Web特別版】マネジド・サービスプロバイダのサイバー脅威からビジネスを守る
【Web特別版】マネジド・サービスプロバイダのサイバー脅威からビジネスを守る
キャスリーン・マギー ウェイリー・ファタイ[*]
米国、英国、オーストラリア、カナダ、ニュージーランドのサイバーセキュリティ当局は、最近、マネジド・サービスプロバイダ(MSP)に対する悪意あるサイバー攻撃の増加について、勧告的な警告を組織とサービスプロバイダに出した。勧告では、MSPを、サービスレベル同意書などの契約上の取り決めを介して、顧客のために情報通信技術(ICT)サービスおよびその機能を提供、運用または管理する事業体と定義している。この勧告は最近のサイバーセキュリティ攻撃やインシデントに照らして、時宜を得たものである。例えば、T-モバイル、エヌビディア、オクタは最近、国際ハッカーグループラプサス$によるランサムウェア攻撃の被害を受けたと報告した。ランサムウェアグループのコンティは、最近、チャットサーバのバックエンドから2021年1月までに6万件を超えるメッセージに不正にアクセスした。
一般的に、組織はMSPに様々なICT管理・運用サービスを提供するよう働きかけているが、組織自身もこのような攻撃の犠牲になる可能性がある。したがって、MSP関連の脆弱性に対処する前には、リスク専門家は、まずは組織がそのような攻撃のリスクを軽減することを支援する方法を検討すべきである。
リスク専門家とその組織は、自社の最大の弱点が電子メールプログラムであることを認識しなければならない。なぜなら、ほとんどの企業や組織は、日々の取引において電子メールに大きく依存しているからである。実際、最近のサイバー攻撃の多くは、ビジネスメールでの不正アクセス(BEC)によって達成されている。BECには、ビジネスメールアカウントのハッキング、偽装、なりすましが含まれる。この場合、メール送信者は、受信者が信用する特定の誰かのビジネスメールアカウントを偽装して、電信送金、給与振り替え、または銀行の特定の詳細の変更を要求する。組織とそのリスク専門家は、ランサムウェア攻撃者に対する取り締まりが、これらの攻撃者の継続的な攻撃の代替手段としてBEC攻撃を押し上げる可能性が高いことを予期する必要がある。したがって、リスク専門家は、企業と継続的に協力し、なりすまし電子メールを認識し、対処する方法について従業員を訓練しなければならない。また、そうしたなりすまし電子メールをフィルターにかけ、報告し、最終的に処理するためのシステムと手順を整備しなければならない。組織のITインフラストラクチャがアウトソーシングされているかどうかにかかわらず、これらのシステムを日常的に扱い、管理するためには、かなり洗練された社内ITチームが必要となる。
COVID-19のパンデミック後、多くの組織が家庭からのリモートワーク方針を広く採用していることを考慮すると、組織はバーチャル・プライベート・ネットワーク(VPN)サーバも強化しなければならない。VPNでは、安全なチャネルを介して企業ネットワークにリモート接続する際に、保護されたネットワーク接続を確立することが想定されているが、組織が過度にそれに依存する度合いが大きいため、サイバー攻撃者にとっては容易にソフトターゲットになる。そのため、国家安全保障局と国家サーバセキュリティ・インフラ局は、組織が標準的なインターネット・キー交換/インターネット・プロトコルセキュリティ(IKE/IPsec)VPNのみを使用し、VPNの標準的なセキュリティ要件に対して検証されていることを推奨する。VPNが導入された場合、組織は、Webアプリケーションセキュリティ、適切なネットワークセグメンテーション、制限されたアクセスと侵入防止システムの採用を通じて、VPNへのアクセスとVPNからのアクセスを監視する必要がある。
組織がITインフラストラクチャをMSPにアウトソーシングしている時には、今こそ、サイバー攻撃のリスクを回避・軽減するためのMSPの方針を、組織が見直すよい機会となる。ITサービスを提供するMSPと契約することを計画している組織は、MSPによるこれらのリスク軽減要因のいくつかを、契約を結ぶときの前提条件とすることを検討すべきである。
さらに、リスク専門家は、MSPとのサービス契約の見直し、特に賠償責任条項の補償と制限についても検討すべきである。ITニーズやインフラを第三者にアウトソーシングする理由の1つは、高度化されたインフラシステムを利用し、そのシステムを管理する責任を第三者に移すことである。そうした便益が実際に実現されることを確実にするためには、行動を統制する契約における責任を示す言語における補償と限度は、サイバー攻撃が発生した場合に組織が必要とする保護を得るために、強化されるべきである。ITサービスプロバイダは、理想的には、ITインフラストラクチャの管理に関して高度なレベルを持つべきであるため、通常、サービスプロバイダの過失によって生じた違反の結果として組織が被る損失に対しては、組織を補償すべきである。ITサービスプロバイダとの取り決めに基づき、組織が一定の責任を負う場合であっても、その責任は合理的に制限されるべきであり、制限の範囲は、付随する状況に依存する。
リスク専門家は、全体的な財務およびビジネスの観点から、機密性の高い個人情報およびビジネス情報に関するデータ違反の責任をカバーする公平で広範な保険プログラムを取得することを検討すべきである。しかしながら、保険プログラムの利用可能性によって、責任言語における、これらのサービスプロバイダとの公平と思われる厳しい補償と限度の交渉は影響を受けるべきではない。
トピックス
サイバー、保険、法務リスク
本翻訳はRisk Management Site (https://www.rmmagazine.com/articles/article/2022/07/28/protecting-your-business-from-managed-service-provider-cyberthreats), July, 2022,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
キャスリーン・マギーはローウェンスタイン・サンドラー法律事務所パートナー。ウェイリー・ファタイは同法律事務所法律事務員。