絶え間ない攻撃に対するサイバー防御の検討にCISOは膨大な時間を費やします。ネットワークの要塞化、エンドポイントの堅牢化、アプリケーションのセキュリティがその一例です。従来のマルウェアから生成AIを強化に用いる巧妙な攻撃まであらゆる脅威に対処しようと、業界全体で数十億ドルが投資されています。
しかしながら、周到に準備された戦略にも死角は存在します。完全な管理下にないことが原因で危険性を増している、サードパーティ エコシステムです。サードパーティのサプライヤ、卸売業者、販売代理店、サービス プロバイダ、顧客から成る複雑なネットワークもこれに含まれます。これらは全体として国際商取引の循環システムを形成しており、「どれほど社内のサイバー防御を強化しても、全体の強さはサプライチェーンの最も弱い部分に依存する」厳しい現実を知る攻撃者にとって、エコシステムを構成するこれらの要素一つ一つが潜在的な侵入口となっています。
「うちの会社は問題ない」と思っている場合は、再考を強くおすすめします。確かに、多くの組織が監査チェックリストにサードパーティ リスクを含めています。また、ベンダー ハイジーン対策としてコンプライアンス レポートを利用しています。しかし率直に言って、これらの作業はセキュリティ対策ではなく、定期的な事務手続きに過ぎないものです。
10年ほど前、弊社ではこの種の危機感のなさを別の文脈(仮想環境での誤った安心感)で警告しました。アーキテクチャを構成するすべての要素を等しく進歩させない限り、システム全体が脆弱性を内在するというのが、当時の状況でした。サードパーティに関しても同じ法則が当てはまります。すなわち、サードパーティ リスクに対する旧態依然としたアプローチは効果がなく危険です。サプライチェーン セキュリティを喫緊の活動として扱わなければ、企業全体がリスクにさらされます。
必要なものはリアルタイムの監視とデータ
サプライチェーンのサイバーセキュリティは断続的な活動として扱うことはできません。セキュリティの監視、管理、維持を途切れのない継続的な活動とする必要があります。固定的な監査と年次のコンプライアンス レビューで規制当局を満足させたとしても、ゼロデイ エクスプロイトや高速なサプライチェーン侵害の前では役立ちません。システムの全要素を次世代に進歩させなければセキュリティを確保できず、最終的に業務停止に追い込まれます。この継続的なアプローチの重要性は調査レポート「2025年版Unit 42インシデント レスポンス レポート」でも明示されています。調査によると、実に75%のインシデントで初期侵入の決定的な証拠がログに記録されていました。しかし、システムが複雑で一貫性に欠けることが原因で、情報への迅速なアクセスや有効活用が不可能であり、攻撃者が検出を受けることなく弱点を突くことに成功しています。この事実は「証拠は多くの場合存在するが、従来の断続的なアプローチでは迅速に発見できない」深刻な分断を浮き彫りにしています。
この状況は新しいものではなく、今後何年も続くでしょう。しかし、この手の攻撃の手痛い教訓にも関わらず、サードパーティ リスクを購買チェックリストの一項目として扱う組織、言い換えれば、現に活動中の脅威サーフェスではなく、ベンダーへの年次調査として扱う組織が依然として多数存在します。
これは危険な思い違いです。サプライチェーンのリスクは監査シーズンを待ってはくれません。リアルタイムに進化するリスクに対処するには、防御側にも進化が求められます。
サプライチェーン リスクに関して何ができるか(そして、何をすべきか)
サードパーティとのすべての関係について、定期的なベンダー チェックから継続的なリアルタイムのリスク監視への移行を支援することが、CISOには求められます。どのような取り組みも、業務停止のリスクを低減できるだけでなく取締役会での気まずい問答を減らします。また、既知の脆弱性を放置した理由について、規制当局から厳しい質問を受ける機会も減らすことができるでしょう。
率直に言って、我々はあまりにも長きにわたって固定的な監査とコンプライアンス チェックリストに依存してきました。こうした手法は過去のリスクには有効かもしれませんが、機械的なスピードで展開する現代の脅威環境には対応できません。求められているのは、サプライチェーンの脆弱性を非常に高い精度でリアルタイムに把握し、変化に応じてアップデートすることです。
これは簡単な要求ではありません。ツール、人材、時間に関する本格的な投資が必要です。幸い、CISOは強力な援軍としてAIと自動化を意のままに利用できます。生成AI、予測モデル、先進的な機械学習はこの課題に最適です。過去のインシデント、公開情報、証明書、振る舞いの兆候など、拡大し続けるデータをAIでスキャンし、エコシステムの全ベンダーの動的なセキュリティ プロファイルを構築できます。これによりセキュリティ体制の変化の追跡、最新リスクの警告、有益で定量的なリスク スコアの生成などが可能になります。
この利点を更に強化するのが自動化です。慢性的なサイバーセキュリティ人材不足を考慮すると、自動化はサードパーティ リスクを継続的に評価し、異常発生時のレスポンスを高速化する強力な増援です。コンテキストを考慮する洗練された分析により、攻撃を特定・無力化して環境上での横移動を未然に防止できます。
自動化は効率化にとどまらない、不可欠な機能です。攻撃に要する時間は数ヶ月から数分にまで短縮されました。アラートの自動トリアージで攻撃を封じ込めることで、甚大な被害を防げます。一刻を争う状況では、人間のオペレーターがスプレッドシートを解析する猶予はありません。検出、判断、対策の展開をリアルタイムに行うAI利用システムこそが望ましい解決策です。
重要なのは侵害の前に動くこと
CISOがベンダーを暗黙に信頼することはもはやできません。今後は従来以上に厳しい対策が求められます。サプライチェーンのベンダー、パートナー、つながりをすべてカバーする比類のない可視性、リアルタイム評価、確かな責任がその一例です。
サードパーティ リスクは取締役会レベルの総合的なサイバーセキュリティ戦略の一部として扱う必要があります。購買部門の内部だけで扱うことや、コンプライアンス部門に委任することはできません。企業の全体的な回復力に対するサプライチェーン セキュリティの貢献を取締役会が認識したうえで、より広範なリスク計画、事業継続活動、規制対策と緊密に統合することが必要です。この新しい脅威環境では、躊躇が確実な破滅をもたらします。組織の回復力の確立に向けて、今すぐ行動するべきです。
サプライチェーン リスクにご関心をお持ちの場合は、弊社のサプライチェーン リスク評価をご検討ください。
