マイク・マディソン氏は、グローバルなサイバーセキュリティおよびレジリエンス企業NCCグループのCEOである。より安全なデジタルの未来を創造するために協力している。
現代のビジネスは、超接続されたジャストインタイムのサプライチェーンで運営されることが多い。この効率性は同時に脆弱性も生み出す。ジャガー・ランドローバーのサイバーインシデントが示したように、適切な状況下では、単一の侵害が業務上、財務上、そしてより広範な経済的影響を引き起こす可能性がある。今日の相互接続された経済において、レジリエンスは経営幹部の優先事項である。
ビジネスリーダーとして、私たちは自社の組織が正味でプラスの影響を与えることを保証する責任があると考える。その影響が環境、私たちがサービスを提供するコミュニティ、あるいは依存するサプライチェーンに対するものであれ。サードパーティリスクを評価する際、私たちは依存するパートナー、そして私たちに依存するパートナーを保護する上での自らの役割を見つめ直さなければならない。
良き隣人であること
サイバーセキュリティを火災安全に例えて考えてみよう。自分の警報器は定期的にテストするかもしれないが、隣人の警報器についてどれほど確信を持っているだろうか。サプライチェーンセキュリティも同じように機能する。防御は、最も準備が整っていないパートナーと同程度の強度しかない。
この集団防衛の中心にあるのが信頼である。隣人の怠慢が自分への脅威となることを心配する必要はないはずだ。残念ながら、信頼に基づくシステムは人間の力学に対して脆弱である。当社のサプライチェーンセキュリティの現状レポートでは、組織がパートナーに過度の信頼を置いていることが判明した。回答者の92%がサプライヤーがベストプラクティスに従うと信頼している一方で、サプライヤーリスクを定期的に評価しているのはわずか66%だった。事業継続性のこれほど重要な側面に関して、これでは十分ではない。
では、この信頼への過度の依存の原因は何か。おそらくそれは私たち自身の過信を反映している。リーダーたちは、自社に起こらないのであれば、なぜサプライヤーに起こるのかと考える。当社の調査では、94%の企業がサプライチェーン攻撃に対応する能力に自信を持っていることも示された。しかし、最近の攻撃の件数、深刻度、相互接続された影響は、そのような自信が見当違いである可能性を示唆していると考える。「良き隣人」であるためには、希望、信頼、自信ではなく、厳格さ、計画、継続的な検証に依拠することで、これらのリスクを真剣に受け止めなければならない。
複雑化するエコシステム
グローバルサプライチェーンは現在、数百の相互依存するプロバイダーにまたがっている。ハイパースケールのクラウドパートナーから、重要なニッチサービスを提供する中小企業まで。企業が国際的に拡大し、AI駆動型技術を採用するにつれて、その数は増加し続けている。
その結果、サプライチェーンの関係性と相互依存性の複数の層の下にリスクが隠れている。サプライチェーンセキュリティは氷山のようなものだ。表面に見えているものは、リスクのほんの一部に過ぎない。サプライチェーンの保護は単純な仕事ではないが、組織がリスクプロファイルの削減に注力することがますます重要になっている。
共有責任の文化
サプライチェーンリスクから保護するには、組織全体でセキュリティ責任についての共通理解が必要である。サイバー犯罪者は役職で差別しない。ビジネスリーダーとして、私たちはサプライチェーンレジリエンスの基調を設定するため、経営幹部と取締役会メンバーは、戦略的選択と投資決定がサプライチェーンセキュリティを考慮に入れていることを確認しなければならない。
調達チームは、サプライヤーのオンボーディング、管理、監視において最前線の役割を果たしており、したがってサプライチェーンセキュリティの最前線にいる。彼らは、サプライチェーン全体で機密データがどこにあるか、サプライヤーが進化するサイバーベストプラクティスに準拠しているかを理解する自信が必要である。そして、サイバーチームがいる。彼らは当然、他の従業員が見逃す可能性のある脆弱性を特定するために不可欠である。しかし、彼らだけが負担を負うべきではない。
効果的なサプライチェーンセキュリティ管理は、全員がリスク、責任を理解し、脅威を疑う場合に行動を支援する適切なツールを持つことに依存している。取締役会から業務チームまでの全員が権限を与えられ、説明責任を負うとき、組織は集団的責任を真のレジリエンスに変えることができる。
サプライチェーン防御を強化するための実践的ステップ
より強靭な態勢は、新しい技術だけに依存するものではない。明確性、一貫性、文化が必要である。サードパーティリスクを管理するには、以下のステップに従うことが重要である。
1. サイバーリテラシーの高いチームを構築する。
役割に特化した的を絞ったトレーニングは、従業員が疑わしい活動を特定し、自社組織内だけでなくサプライヤーエコシステム全体における責任を理解するのに役立つ。
2. サプライヤーのオンボーディング時に適切な質問をする。
重要なデューデリジェンスチェックには以下が含まれる。
• サプライヤーはデータ共有関係を持つか。もしそうなら、彼らは高リスクとなる。
• サプライヤー契約は、サイバーインシデントの24時間以内の通知を要求しているか。
• サプライヤー資産内のパッチ適用とアップデートポリシーは何か、そしてこれはどのように監視されているか。
• 最低基準への準拠だけでは不十分である。サプライヤーはチェックボックス要件を超えていることを示せるか。
• 詳細な事業継続計画を持っているか、そして過去の危機にどのように対応したか。
3. 継続的に検証し、想定しない。
ゼロトラストの原則は、企業内だけでなく、サプライチェーン全体にも適用される。検証が想定に取って代わらなければならない。
もはや「もし」ではなく「いつ」
今日のサプライチェーンは、信頼だけに依存するには複雑すぎ、相互依存しすぎ、不透明すぎる。ベンダーネットワークの奥深くに埋もれているものを含む盲点の特定は、今や事業継続性の基本である。
サイバーインシデントは1つの組織から始まるかもしれないが、その影響がそこで止まることはめったにない。私たち全員に果たすべき役割がある。集団的責任を負うことは、もはや選択肢ではない。それは集団的レジリエンスの鍵である。組織は、自社の資産の限界を超えたレジリエンスに正味でプラスの影響を与えるよう努めなければならない。
