By Risk Management
【Web特別版】
6月号
- 地政学的緊張の高まりの中でサプライチェーン課題に取り組む
地政学的緊張の高まりの中でサプライチェーン課題に取り組む
ラス・バーナム[*]
パンデミックの開始時に世界のサプライチェーンを崩壊させた需要と供給の不均衡は緩和されたが、新たな地政学的緊張が新たな課題を生み出し、組織がサプライチェーンのリスクマネジメントへの投資を増やすことに拍車をかけている。
「パンデミックの間、需要がない状態から需要が多い状態へと急速に逆転し、供給、物流、キャパシティの問題に追いつくことが困難になりました」と、半導体メーカー・オンセミのグローバル全社的リスクマネジメント担当上級取締役マイケル・ズロウは述べる。「今日、経済は軟着陸に向かっているように見えるが、戦略的なソーシングと流通の意思決定は、主に地政学的な理由から、いまだに不確実性に直面している。」
例えば、黒海における長年にわたるコンテナ船航路は、ウクライナでの戦争によって途絶えてしまった。アジアとヨーロッパを結ぶ他の主要コンテナ船ルートも、紅海とアデン湾で、イエメンのイランが支援するフーシ派武装勢力がイスラエルと米国の船舶に対して無人機とミサイル攻撃を仕掛けたことにより、同様に寸断されている。「通常、スエズ運河を通過するコンテナ船は、アフリカ南部の喜望峰にルート変更されています。このルートは、より遠回りで、時間がかかり、コストもかかります」と、ズロウは言う。
気候変動やインフラの回復力といった他の要因も、サプライチェーンのリスク状況を複雑にしている。例えば、2023年6月以降、歴史的な干ばつによりパナマ運河の水位が低下し、役人は水路に入る船舶の数を減らさざるを得なくなった。3月には、コンテナ船の衝突によりボルチモアのフランシス・スコット・キー・ブリッジが倒壊し、東海岸で最も忙しい港の1つを通る自動車、石炭、機械類の輸送が大幅に遅延した。
こうした状況は、サプライチェーンのリスクに対する懸念を増大させる一因となっている。デロイトが2023年に調達担当取締役を対象に行った調査では、回答者の70%以上が、自社のサプライチェーンのリスクが過去12カ月間で「ある程度」または「かなり」増加したと回答したが、リスクを「かなり」または「完全に」予測できたのはわずか26%であった。
世界的な法律事務所クライドのパートナー、ダン・レバーは「サプライチェーンのリスクマネジメントでは、もはや需要予測やトレンドを振り返る問題ではなく、各国の相互作用や関係、潜在的な紛争を理解することが不可欠です」と述べた。
グローバルなサプライチェーンを強化するため、企業はオンショアリングやニアショアリングの製造、サプライヤー・ネットワークの再考や見直し、サプライヤーの透明性や監督の強化など、さまざまな戦術を採用してきた。多くの組織にとって、これらの戦略は、将来の危機を乗り切るために、より構造化され、特化され、資源に裏打ちされたサプライチェーン管理プロセスを構築するのに役立っている。
オンショアリングとニアショアリング
超党派による2つの法律―連邦雇用法とCHIPS・科学法―は、新興企業が国内で製造することを奨励し、海外で製造している企業は米国に生産を戻すことを奨励している。例えば、CHIPSは、米国の半導体製造を強化するために、連邦政府からの直接資金と追加的な税額控除で500億ドル近くを提供している。バイデン大統領が2022年8月に法案に署名して以来、米国企業は米国を拠点とする半導体および電子機器の製造に1660億ドル以上を費やすことを約束してきた。
こうした投資は、雇用創出に加え、コンピューター、ビデオゲーム、テレビ、スマートフォン、家電製品、医療機器など数千もの製品に使われる半導体の海外供給業者への依存を減らすことを目的としている。連邦政府の資金調達と税制上の優遇措置は、サプライチェーン、特に現在の中国との貿易戦争によって中断されたサプライチェーンを短縮する誘因となっている。サウスカロライナ大学の経済学者ロバート・ハートウィグ準教授(実証ファイナンス)は「関税引き上げによって、さまざまな産業セクターの米国企業は中国から逃れ、国内での生産・再生産を余儀なくされている」と述べた。
世界の自動車、航空宇宙、建設市場向けにアルミニウム圧延製品を生産するノベリスは、国内生産に転換している企業の1つである。ノベリスの財務担当取締役(CFO)デヴ・アージャは「需要の高まりと輸送費の高騰が、アジアに拠点を置くサプライヤーへの依存を減らすという、私たちの決断に拍車をかけました」と述べた。「私たちは今年、アラバマ州にある25億ドルの低炭素アルミニウムリサイクル・圧延工場とケンタッキー州にある3億6500万ドルのリサイクル工場という2つの大規模な資本集約型プロジェクトを新たにオンショアにしています。」
メキシコでのニアショアリングは、米国企業にとってますます人気のある戦略である。経営コンサルタント会社マッキンゼー製造・サプライチェーン実担当パートナー兼リーダーであるヌット・アリックによると、近距離航路に向けた努力により、この1年間で同国での製造能力が500億ドル増加したという。
垂直統合
生産スケジュールに合わせてより信頼性の高い供給を確保するため、いくつかの大企業が海外および国内の供給業者を買収している。市場情報プラットフォームであるクライメイト・テック VCがロイターのためにまとめたデータによると、ゼネラルモーターズやステランティスのような大手自動車メーカーや家庭用品大手のイケアは、サプライチェーンでの混乱のリスクを減らすために垂直統合に力を入れている企業の一つである。再生可能エネルギー、金属、化学、鉱業、農産物、その他の供給セクターのサプライヤーの獲得に向けて、両社は合計で40億ドル以上を投資している。
「私たちの店舗には約9500の製品があり、それぞれに1つ以上のサプライヤーがついています」と、RIMS取締役で、イケア・サプライのアジア太平洋地域リスク・コンプライアンス・マネージャーであるロバート・ザンは言う。「絶え間ない変化の世界で適切な事業継続を維持するためには、サプライチェーンの回復力が重要な要素です」。イケアのビジネスモデルは、調達から設計、生産、倉庫、物流に至るまで、すべての家具製品の設計と製造で構成されている。「他の多くの大手小売店が複数のブランドの製品を提供することを選択するのに対して、われわれのモデルは非常に垂直統合されています」と述べた。
この統合により、イケアはより効率的な購買・供給プロセスを構築し、リアルタイムの追跡とシナリオプランニングを行うことができる。そうしなければ、バリューチェーン全体で複数のサプライヤーやさまざまなシステムにまたがって、それらを実施することは困難である。「私たちはサプライヤーとの長期的なパートナーシップを大切にし、サプライチェーンにおける強靭な回復力を構築することの重要性を常に強調しようとしています」とザンは語った。
しかし、垂直統合は必ずしも万能薬ではない。ソフトウェア会社ブラックラインの企業間ソリューションマーケティング担当取締役ジム・ティルクは「サプライヤーが買収組織に統合されれば、企業間の国境を越えた金融取引を可視化する必要性が生じます」と述べた。会社間の財務取引は、異なる通貨、税金、会計上への影響をもたらし、組織の資金管理の優先事項に影響を与える可能性がある。また、組織は、親会社から始まって子会社に向けられた川下取引、子会社から始まって親会社に向けられた川上取引、および2つの子会社間の水平取引をどのように記録するかを決定する必要がある。
特化されたサプライチェーン監視
サプライチェーンの機能不全は、企業の経済的存続可能性に対する実質的リスクをもたらすため、経営幹部や取締役会は、サプライチェーンの回復力に対する懸念を強めている。「これは、サプライチェーンの管理が調達や物流組織にほぼ委ねられていた10年前とは大きな違いです」とハートウィグは言う。
サプライチェーンのリスクマネジメントを強化するために、多くの企業がサプライチェーンの機能をより戦略的な企てへと再構成している。このアプローチでは、時にはサプライチェーン監視グループの一員である高位の幹部が主導し、調達、物流、IT、在庫計画および管理などの機能的な独立的な部署を統合し、サプライヤーの層を超えたデータを利用してすべてのリスク領域を識別することになる。「この高度なサプライチェーン管理には、調達の範囲を超えて、より戦略的な視点を持つ人物が主導する、端から端までも含んだ全社的リスクマネジメントが必要になります」とアリックは言う。
このアプローチは、規制動向やサプライチェーンの透明性と報告手続きに関する新たな要件とも結びついている。「サプライチェーンの可視性を高めることは、倫理的で持続可能な実務とプロセスを確保するために不可欠です」と、コンサルティング・テクノロジー企業クロウ LLPサプライチェーン担当マネージングプリンシパルのウィル・ニブローは述べている。「欧州や米国のいくつかの州では、倫理的な調達を確保する方針やプロセスを開示する責任が企業に課されています。サプライチェーンの責任者には、この報告義務を委ねられる」と述べた。
サプライチェーンを強化するためにリスクマネジメントを前面に押し出す企業が増えれば、不確実性は減るだろうが、消えることはないだろう。「サプライチェーンのリスクをなくすような戦略はありません。」とズロウは言う。しかし、全社的リスクマネジメントのメガネを通してそれらを管理する企業は、不確実性を乗り越えて成功する可能性が高くなるだろう」と述べた。
トピックス
新興リスク、国際的、政治的リスク、規制、リスクマネジメント、戦略的リスクマネジメント、サプライチェーン
注意事項:本翻訳は“Addressing Supply Chain Challenges Amid Rising Geopolitical Tensions ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/06/05/addressing-supply-chain-challenges-amid-rising-geopolitical-tensions ) June 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ラス・バーナムはロサンゼルスを拠点に活動する経験豊かなビジネスジャーナリスト兼作家。
- ネット・ゼロ目標を掲げる企業は半数に満たない
- 2024年 ハリケーン・シーズンの見通し
- 多要素認証の先へ
多要素認証の先へ
デイビス・ヘイク[*]
多要素認証(MFA) は、ユーザーのID を検証し、システム、アカウント、またはその他のオンラインリソースへのアクセスを許可するために、2 つ以上の要素を必要とする認証方法である。多くの場合、これはパスワードのようにあなたが知っているものと、SMSやプッシュベースのモバイルアプリによって送信されるセキュリティコードのようにあなたが持つものである。パスワードとコードを持つMFAのこれらの一般的な実装は、常に、誰かがそのセキュリティコードを傍受したり、フィッシングを介してユーザーから入手したりするという重大な脆弱性を持っていた。
今や、ユーザー名とパスワードだけでは、安全とは言えない形式の認証であることがよく理解されている。攻撃者が重要なデータやアカウントにアクセスするのを阻止できる可能性があるため、MFA は組織の要件となっている。さらに、保険引受会社がサイバー保険契約を承認することは、ますます最低限の期待事項となっている。
大規模保険仲介会社CRCは、「ほとんどの口座に見積もりを提供する前に、被保険者に (特にEメール・アクセスに関して) MFAが設置されていることを要求することは、現在では一般的な慣行である」と報告した。「MFAがなければ、クライアントは更新されないか、100%以上の更新リスクの上昇を負う」。不幸にも、過去数年間にわたり、攻撃者は静かにレガシーMFAソリューションに追いついてきた。この特効薬は以前のようには機能しておらず、特に組織の教育や訓練では完全には防げないAIによるフィッシング攻撃に関しては機能していない。
ウッドラフ・ソーヤー全米サイバー実務担当リーダーであるダン・バークは、「フィッシングやSMSベースの攻撃でMFAを回避する攻撃者が増えているのを目の当たりにしているが、大多数の保険引受会社の間ではまだ同じ認識に達していない」と述べている。「保険業界は伝統的に事後対応的であるが、MFAが攻撃によってどのように迂回されたかを示す保険請求データが増えているため、この認識は非常に重要になる可能性がある。」
マイクロソフト脅威諜報チームの調査によると、中間者攻撃(AitM)などの新しい戦術は、MFAを回避するフィッシングの最新バージョンになっている。それは、サイバー犯罪者が、利用者とウェブサイトやサービスの提供者などの二者間の通信を傍受・改ざんし、データを盗み出す攻撃である。タイフーン2FAという名前の新しいプラットフォームは、サイバー犯罪者によるAitM攻撃をさらに容易にしたことから、何千ものフィッシング攻撃が観察されている。
クロールのインシデント対応チームによる調査では、昨年ビジネスメールの侵害インシデントの調査対象となった組織の90%がMFAを導入していた。サイバーセキュリティ会社グループIBの報告によると、昨年9月、AitMの手段を利用して8,000以上のオフィス365アカウントを侵害するフィッシング作戦が複数年にわたって行われていた。法律事務所や学校も、従来のMFAの実装を迂回したフィッシング攻撃の標的となっている。この拡大し、広がり続ける脅威に対抗するため、組織とその保険会社は、MFAがどのように展開されているか、また最も重要なアカウント、データ、システムを保護するためにフィッシングに強い形態のMFAを利用しているかどうかについて、厳しく質問を始める必要がある。
どんなサイバーセキュリティ・プログラムでも、人間は常に弱点であり、フィッシングはすぐには消えないため、組織は有利さを取り戻す方法を考え出さなければならない。どんなMFA でも、認証用のユーザー名とパスワードよりも優れているが、その展開によってリスクのレベルは異なる。セキュリティ業界は以前からこの点を認識していたが、企業での変化は遅いものであった。
2020年、ハッカーがツイッターのネットワークに侵入し、著名なユーザーに割り当てられた数十のツイッター・アカウントを掌握し、最終的に118,000ドル以上のビットコインを盗んだ。ニューヨーク金融サービス局は、この事件に関する報告書の中で、「MFAは重要であるが、すべてのMFA手法が同じように作られているわけではない」と指摘している。ツイッターはアプリケーションベースのMFAを利用し、従業員のスマートフォンに認証要求を送信する。これはMFAの一般的な形式であるが、回避できるものである。実際、ツイッターでのハッキングの際には、ハッカーたちはツイッターの従業員にログイン中にアプリケーションベースのMFAを認証するよう説得し、MFAを突破した。MFA の最も安全な方式は、ユーザーを認証するためにコンピュータに接続された USB キーを含む物理的なセキュリティキー、つまりハードウェア MFAである。このタイプのハードウェアMFAはハッカーを止めていたはずで、ツイッターは現在、アプリケーションベースのMFAの代わりに、それを実装している。」
サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、旧来のMFAを迂回する攻撃者の有効性が高まっていることに注目し、シニア・テクニカル・アドバイザーのボブ・ロードが、フィッシングに強いMFAという新しい防御戦術について書いたブログ記事を公開した。「通常のMFAとは異なり、フィッシングに強いMFAは、MFAのバイパスを防ぐように設計されている」と、彼は説明した。「フィッシングに強いMFAには、スマートカードやセキュリティキーなど、いくつかの形態がある。鍵の所有者のみが自分のデバイスに物理的にアクセスできるため、フィッシング詐欺は機能せず、脆弱なパスワードでも保護できる追加的な手段ある。」
サイバー攻撃が進化し続けるにつれ、従来のセキュリティ手法はますます有効ではなくなってきている。フィッシングに強い認証機能のような新しい手法は、組織が最新のサイバー脅威から身を守るのに役立つ。
ロードはCISAのブログ記事で、「すべての従業員に一式のセキュリティキーを与え、それをすべての内部サービスへのアクセスに使用することを義務づける」と述べている。「MFAバイパス攻撃に苦しんだ後で、被害を受けた企業は何をするのか。セキュリティキーを配備して、同じ攻撃が再び機能することはないようにする、と多くの人が報告している。ハードを活用する方法を学ぶべきではないか。」
トピックス
サイバー、新興リスク、詐欺、セキュリティ、テクノロジー
注意事項:本翻訳は“Moving Beyond Multifactor Authentication ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/06/18/moving-beyond-multifactor-authentication ) June 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
デイビス・ヘイクは、ヴェナブルLLPのサイバーセキュリティ担当上級取締役。
- 世界的な海運に対する脅威を増大させる地政学的紛争
- 企業はサイバー攻撃に対する保険が足りていない
- 不注意運転に対する全社的な方針を策定する
不注意運転に対する全社的な方針を策定する
ジェニファー・ポスト[*]
専門家によると、携帯電話をちらっと見たり、道路から目を離したりするだけで、衝突の可能性が2倍になるという。最近の全米高速道路交通安全局(NHTSA)の報告書によると、2022年には不注意運転による衝突事故で3,308人以上の死者と290,000人近くの負傷者が出た。幸いなことに、死亡者数は2021年の3,522人から減少しているが、NHTSAは、多くのドライバーが事故の直前に電話をしていたことを認めたがらないため、不注意運転による事故や死亡者の報告が過小評価されている可能性が高いと指摘している。
仕事での運転者は道路で何時間も、あるいは何日も過ごすため、気を散らしやすくなる。運転状況に関する全国調査では、ビジネス・ドライバーの3分の1が、運転中に時々またはしばしば気が散っていると感じていると認めている。ビジネス関連の不注意運転事故では、運転者、車両、他の運転者および車両、歩行者および周辺財産のすべてにおいて、損傷の危険性がある。
メールだけではない
不注意運転は運転中にメールをすることだと思っている人も多いかもしれないが、特にビジネス・ドライバーにとっては、それ以外の行動も含まれている。商用車作業者はネイションワイド社の調査に対して、GPS (55%)、ラジオや音楽の操作(41%)、飲食(30%)および携帯電話での会話やメール(27%)に気を取られていると報告している。調査参加者はまた、仕事の電話に出るなどの仕事に関連したコミュニケーションへの反応 (55%)、仕事上の文書を読むか対応する(30%)、仕事メールや他の書類を読む(18%)、仕事メールに返信する(16%)など、仕事に関連したコミュニケーションへの対応が、彼らの注意散漫を増加させることを指摘した。
ビジネス・ドライバーが指摘した注意散漫原因のほとんどが仕事に関連していることは理にかなっており、企業はドライバーが運転に集中し続けることを奨励または強制する方法を見つけようとしている。ネイションワイドのレポートでは、ビジネス・ドライバーの20%が、自分の会社は運転中の携帯電話の使用を一切許可していないと答え、34%はハンズフリーポリシーが施行されていると答えた。しかし、ビジネス・ドライバーの60%は、ハンズフリー電話の使用も、気が散る原因となっていると感じている。
保険において推測されること
商用自動車保険は通常、人身傷害、物的損害、医療費、無過失障害または人身傷害、および衝突をカバーするが、保険請求は保険料の増加につながる可能性があり、同じ種類の請求が繰り返されると、商用自動車保険が完全に失われてしまう可能性がある。自動車保険は、すでにすべての商業保険の中で最も高額なものの一つである。しかも、マーケットスカウト社のマーケット指標によると、今年第1四半期の金利は6.7%上昇している。
ネイションワイドの中堅企業向け商業保険担当主任クリスティーナ・タルコウスキーは「保険会社は、自動車保険料や免責控除額を引き上げることで、不注意運転保険請求に応えるかもしれない」と述べた。「場合によっては、注意散漫運転に対して組織の経営陣が対処しない傾向が続くと、保険会社は商用車の保険をキャンセルせざるを得なくなるかもしれない。さらに、ある組織内の特定の運転者が、その管轄区域に依存するが、再犯者である場合、保険会社は、当該運転者を保険対象から排除するか、または、彼らの職責から運転を排除することができる」と述べている。
不注意運転対策方針での要素
48州とワシントンDCでは、運転中のメールは違法である。24州とプエルトリコでは、すべての携帯機器の使用が禁止されている。職場では、危険を減らすための不注意運転対策方針を策定し、実施することができる。国家安全保障会議は、全社的な不注意運転対策方針の中核的な同意の概要を示す無料のテンプレートなど、多くの不注意運転に関するリソースを企業に提供している。使用者は、従業員に対して、以下の同意を求めるべきである:
- 自動車の運転中にハンドヘルドまたはハンズフリーのモバイル電子機器、または車両の音声機能を使用しない
- スマートフォンやその他のモバイルデバイスの「スリープ・モード」機能をオンにする、または注意散漫を防ぐために、モバイルデバイスを消音にする
- ドライバーが電話やメールをしなければならない場合は、車線外の安全な場所に車を「駐車」させる
- 顧客、アソシエイト、ビジネスパートナーに対して、この会社の方針を伝え、すぐには電話、テキスト、電子メールを返さない可能性がある理由を説明する
- 出発前にGPS、音楽機器、ダッシュボード/音声インフォテイメントシステムをプログラミングする。ドライバーが運転中に調整する必要がある場合は、車線外の安全な場所に車を停め、適切な調整を行うために車を「駐車」させる
仕事に関連したコミュニケーションに反応したくなる誘惑を減らすために、従業員や管理職が長時間外出することが分かっているドライバーにメールや電話、電子メールを送らないように、方針に書き加える。強固な方針を打ち立てることは、従業員やその他の人々の安全を守るだけでなく、保険料を抑えることにもつながる。
トピックス
保険、リスクマネジメント、安全
注意事項:本翻訳は“ Developing a Company-Wide Distracted Driving Policy”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/06/27/developing-a-company-wide-distracted-driving-policy) June 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ジェニファー・ポストは本誌編集者。
