リスクが見えても人手が足りない米国、リスクが見えてすらいない日本 サプライチェーン防衛の現実：SCS評価制度開始は目の前

ランサムウェア被害は取引先を起点に連鎖し、企業の枠を超えて広がり始めている。サプライチェーンの可視化すら進まない日本と、次の課題に直面する米国。このギャップはどうすれば埋められるか。日本企業の事情に合った現実解を考える。

[田渕聖人，＠IT]

　国内のランサムウェア被害は、ここ数年で質・量ともに大きく変化した。かつては単一企業の問題として語られることが多かったが、現在では委託先や取引先を経由して侵害が広がるケースが目立つ。結果として被害は長期化し、事業停止やサプライチェーン全体への影響に発展する事例も増えている。

　こうした状況は、「自社だけ守ればよい」という従来の前提が通用しなくなったことを意味する。取引先を含めたリスクの把握と管理、すなわちサプライチェーン全体でのセキュリティ確保が必要不可欠だ。

　では、国内企業がこの取り組みを前に進めるにはどうすればいいか。SecurityScorecardでインターナショナルセールス担当 プレジデントを務めるマシュー・マッケナ氏が、日米の間にある明確な成熟度の差からあるべき姿を示した。

米国でセキュリティ評価は“常識”なのに　日本でできない対照的なワケ

SecurityScorecardのマシュー・マッケナ氏（インターナショナルセールス担当 プレジデント）

　マッケナ氏によると、米国ではセキュリティレーティングの導入は既に一般化している。「どの企業も何らかの形でレーティングを導入している。もはやそれ自体は差別化要素ではない」（同氏）。

　外部から観測可能な情報を基に企業のセキュリティ状態を評価するレーティングは、サプライチェーンリスク管理の出発点として機能してきた。しかし普及が進んだ結果、米国企業は次の壁に直面しているという。

　「サプライチェーンの下流企業がレーティングされ、課題が可視化されても、それをどう解決するのかが分からない。取引先企業や問題の数が多すぎて、対応が追い付かない。特に多数の取引先を抱えるサプライチェーンの上流に位置する企業では、この傾向が顕著だ。リスクの“見える化”は達成されたが、その後の優先順位付けや対処に人手が追い付かず、結果としてリスクが放置されるケースもある」

　これと対照的なのが国内企業だ。一部の大企業はサプライチェーンセキュリティに強い関心を持っているが、レーティングを含めて各サプライチェーンのセキュリティ状況を可視化できている企業は多いとはいえないだろう。マッケナ氏はこの背景には組織構造と文化的要因の双方があると見ている。

　「日本ではCISO（最高情報セキュリティ責任者）を設置している企業が少ないのが実態だ。意思決定を担う責任者の不在は、セキュリティ投資の優先度を下げる要因となる。また、取引先の監視体制についても把握が不十分だ」

　これに加えて、マッケナ氏は日本特有の意思決定プロセスの遅さも関連しているのではないかと推測する。

　「米国では1カ月で進む案件が、日本では6カ月かかることもある。慎重な検討を重ねる姿勢は品質の担保という点で有効だが、攻撃スピードが加速する現在においてはリスクにもなり得る。特にAIの活用によって攻撃の高度化・高速化が進む中、この時間差は致命的になりかねない」

　これらは根深い課題という意味で深刻ではある。しかしマッケナ氏が特に問題視しているのは、中小企業のセキュリティ対策の遅れだ。サプライチェーンは最も弱い部分に引きずられる。多くの中小企業は人材や知識、予算の不足から十分なセキュリティ対策を講じられておらず、その脆弱（ぜいじゃく）性が大企業に波及する構造になっている。

　「中小企業のセキュリティが低ければ、その影響は必ず大企業に及ぶ。最近は大企業が自社防衛のために取引先のセキュリティ向上を支援するケースも増えている。中小企業はセキュリティ対策に十分な予算を割けないという前提で、このギャップをどう埋めるかが今後の大きな課題となる」

日本企業が米国に追い付くには　鍵を握るのは“横並び意識”？

　では国内企業がサプライチェーンセキュリティを前に進めるにはどうすればいいか。マッケナ氏は「AI活用」と「外圧」の2つが大きな転機になると見ている。

　「AIによって人手では難しかったリスク検出が自動化された他、アンケート対応や証跡管理といった実務が効率化された。今後この精度がさらに向上すれば中小企業でも現実的に対策が可能になるだろう。また、制度や規制といった外部からの圧力も重要な要素だ。欧州ではEU DORA（Digital Operational Resilience Act）といった規制の導入を契機に企業の対応が一気に進んだ例がある。義務や罰則があることで企業の危機感は一気に高まるのが現実だ」

　日本でも経済産業省が主導している「サプライチェーン強化に向けたセキュリティ対策評価制度」（SCS評価制度）やサイバー防御政策の議論が進んでおり、これが変化の引き金になる可能性がある。また、ある企業が取り組めば、周囲も追随する日本特有の“横並び”の文化も普及の加速要因になり得るだろう。

〜記者の目：ニュースをちょっと深掘り〜

今回のインタビューから、米国と日本のサプライチェーンセキュリティの違いは、単なる成熟度の差ではなく、「前提となる経営構造の違い」に根差していると感じた。米国企業はCISOを中心に権限集中型の意思決定が浸透しており、外部評価やレーティングを起点にリスクを数値化し、サプライヤー管理へと組み込む動きが早い。一方で現在は、その“見える化”が行き過ぎた結果、対応の優先順位付けや実行力がボトルネックになり、運用のスケール問題に直面している段階だ。

対して日本企業は、そもそもリスクの可視化以前の段階にとどまっているようだ。背景には、合意形成を重視する意思決定プロセス、取引関係における信頼前提の文化、セキュリティ責任の曖昧（あいまい）さがある。日本特有なのは、「取引先に強く言えない構造」だ。系列や長期取引関係が重視される中で、セキュリティ基準の強制や監査を徹底しにくい。この点は、契約ベースで厳格に管理する米国との決定的な差と言える。

ではどうすればよいか。鍵になるのはサプライチェーン全体を一律に管理しようとするのではなく、リスクレベルごとに階層化し、最低限守るべきセキュリティ要件をシンプルに定義することだ。その上で、日本企業が強みとする「横並び意識」を逆手に取り、業界単位での標準化を進めることが現実的なアプローチだ。個社単位での押し付けではなく、「業界としての常識」に昇華できれば、中小企業も受け入れやすいだろう。

一方で課題も明確である。最大の壁はリソース不足ではなく「優先順位の再設計」にある。セキュリティはコストではなく事業継続の前提という認識を、経営レベルで持てるかどうかだ。さらにAIの活用が進めば、攻撃側と防御側のスピード差は一層拡大する。日本企業に求められるのは、完璧を目指す従来型の姿勢から脱却し、「不完全でも回す」運用への転換だろう。サプライチェーンセキュリティは、もはや技術の問題ではなく経営の意思決定そのものなのである。（田渕聖人）