サプライチェーンリスクとは？具体例とマネジメントの基本を解説

サプライチェーンリスクとは？
- 主な発生要因
- サイバー攻撃によるリスクが増加
  - サプライチェーンの主な攻撃手口
サプライチェーンの具体的な被害事例
サプライチェーンリスクマネジメント（SCRM）の基本
- 自社で行える対策
- 関連企業に向けた対策
事前にサプライチェーンのリスクマネジメントを！

大規模な自然災害やサイバー攻撃、原材料の高騰など、サプライチェーンを脅かすリスクは大変多くあります。自社だけでなく、関与する外部事業者がリスクにさらされるケースも多いため、自社と取引先の両方で事前対策を講じることが必要です。

この記事ではサプライチェーンに被害が及んだ具体例などをもとに、サプライチェーンリスクマネジメント（SCRM）の方法や対策を解説します。この機会にサプライチェーンの全体を見据えたセキュリティ対策を強化しましょう。

サプライチェーンリスクとは？

サプライチェーンは原料の調達、製造、流通、販売など、商品が生産されて消費者のもとに届くまでの一連の流れを指します。サプライチェーンリスクとはこの流れが何らかの原因によって滞ったり、停止したりするリスクです。サプライチェーンを脅かすリスクは、自然災害やサイバー攻撃、感染症拡大によるパンデミックなど多岐に渡ります。

たとえば地震で工場の設備が故障して生産ラインが停止したり、関連企業のサーバーが不正アクセスされて個人情報が漏えいしたりなど、さまざまな事例があります。自社だけでなく、関連企業で被害が起きるケースも多いため、双方のリスク管理が非常に重要です。

主な発生要因

近年、頻繁に発生しているサプライチェーンを脅かす主なリスク要因をまとめました。

大雨や地震、洪水など大規模な自然災害
感染症や伝染病の流行（パンデミック）
原材料・部品などの不足や価格高騰
輸出入の貿易制限や関税の引き上げ
サーバやシステムへの不正アクセス
ランサムウェア攻撃
紛争やテロなどによる経済の混乱

サプライチェーンリスク管理サービス「Spectee SCR」の詳細はこちら

サイバー攻撃によるリスクが増加

サプライチェーンを脅かす要因のなかでも、近年リスクが増大しているのが不正アクセスなどのサイバー攻撃です。独立行政法人情報処理推進機構が公表する「情報セキュリティ10大脅威」においても、「サプライチェーンの弱点を悪用した脅威」は6年連続で10大脅威として取り扱われています。

サイバー攻撃のリスクが年々高まっているため、自社や関連企業でサプライチェーンのリスクマネジメントを強化することが今後重要です。

サプライチェーンの主な攻撃手口

サプライチェーンに対するサイバー攻撃の主な手口は以下の3つです。

サイバー攻撃の種類	概要
ビジネスサプライチェーン攻撃	関連企業のセキュリティ対策の脆弱性をついたサイバー攻撃。主に標的とする組織の関連企業が狙われる。
サービスサプライチェーン攻撃	標的とする企業のサービスの提供元を狙ったサイバー攻撃で、顧客にも被害が生じる。主にMSP（マネージドサービスプロバイダ）などが狙われる。
ソフトウェアサプライチェーン攻撃	ソフトウェアの開発工程に侵入し、ソフトウェア自体に不正なプログラムを混入させる手口。ソフトウェアのアップデートを適用した利用者にウイルスを感染させるなどのケースがある。

サプライチェーンの具体的な被害事例

実際にあったサプライチェーンの被害事例を紹介します。サイバー攻撃や自然災害、原料不足など、さまざまな事例を紹介しますので、ぜひ参考にしてください。

事例①ランサムウェア感染で約2日間の業務停止

2023年に、名古屋港の5つのコンテナターミナルと集中管理ゲートのオペレーションを担うシステムが、ランサムウェア攻撃を受けました。ランサムウェア攻撃とは、悪意あるソフトウェアが被害者のデータを暗号化し、解除のために身代金を要求するサイバー犯罪の一種です。英語の脅迫文書が大量に送られてきたことから、海外のサイバー犯罪集団によるサイバー攻撃と判明しました。

このサイバー攻撃により、約2日半もの期間、コンテナターミナルでの作業が停止する事態となりました。システム障害を想定したBCP（事業継続計画）や、原因分析のためのバックアップが整備できていなかったことが復旧が遅れた原因と考えられています。

事例②サービス提供元への不正アクセスにより顧客情報漏えい

2023年に、ケーブルテレビや格安スマホなどのサービスを提供するJ:COMで、提携企業に対する不正アクセスにより、顧客情報の漏えいが発覚しました。サイバー攻撃を受けたのは、同社のサービス「メッシュWi-Fi」の提供を行っていた米国企業のモバイルアプリです。

これにより、J:COMおよびケーブルテレビ事業者のメッシュWi-Fiサービスの利用者、約23万件の氏名と約5千件のメールアドレスが漏えいする被害に発展しました。提携先のシステムの脆弱性をつく手口と考えられます。

事例③元従業員のデータ削除により復旧に約660万円のコスト

サイバー攻撃以外に、内部不正による被害事例もあります。電気工事や設備保守に用いられる計測器の開発・製造・販売をしている共立電気計器では、元従業員が社内ネットワークやクラウドに不正アクセスを行い、顧客や技術に関するデータを故意に削除した事件がありました。在職中の人間関係が原因とされ、元従業員の男性は不正アクセス禁止法違反の容疑で逮捕されました。

同企業がデータの復旧にかけた費用は、約660万円にも及んだといわれています。この事例からも、IDやパスワードの適切な管理体制の重要性がよくわかります。

事例④半導体工場が地震の影響で1ヶ月近く停止

2024年1月に起きた能登半島地震の影響で、東芝グループの加賀東芝エレクトロニクスの半導体工場が停止する事態となりました。クリーンルームの排気配管が破損したことによる稼働停止で、完全な復活には1ヶ月近くを要しました。

この工場では自動車や家電などに使用される半導体を生産していることから、関連する分野のサプライチェーンに大きな影響を及ぼしたとみられます。

サプライチェーンリスク管理サービス「Spectee SCR」の詳細はこちら

事例⑤世界的な半導体不足で一部のICカード販売中止

ICチップの入手困難の影響で、JR東日本が発行する「Suica（スイカ）」、株式会社パスモが提供する「PASMO（パスモ）」の無記名カードの販売が、2023年より一時中止となっています。背景には、世界規模での半導体不足があります。

半導体の不足は、新型コロナウイルス感染症の流行で社会全体のデジタル化が加速し、パソコンやサーバーの需要が急増したことが一因とされています。現在でも混乱した状況が続いており、自動車メーカーやITサービスなどさまざまな業界に影響を及ぼしています。

サプライチェーンリスクマネジメント（SCRM）の基本

上記で紹介した事例から、サプライチェーンが滞ったり、停止したりする要因として以下の理由が考えられます。

自然災害による設備や人員の被害や復旧の遅れ
関連企業のシステムやサーバーの脆弱性
内部の不正行為や操作ミス
パンデミックや社会情勢などへの対策不足

上記を防ぐ、または被害を拡大させないためには、サプライチェーンリスクマネジメント（SCRM）を講じる必要があります。サプライチェーンリスクマネジメント（SCRM）は、サプライチェーンに影響を与えるリスクを管理し、対策や体制の整備を行う手法を指します。以下で自社と関連企業でそれぞれ行うべき対策をまとめました。

自社で行える対策

サプライチェーンリスクに対応するための自社の対策は以下が考えられます。

インシデント対応体制の確立、見直し
情報管理規則の徹底
サーバーやネットワークに対する適切なセキュリティ対策
複数の生産拠点を確保
原材料の調達先の分散
物流経路や方法の検討

まず、自然災害やサイバー攻撃、原料不足などあらゆるインシデントに対応するための体制の確保が重要です。BCP（事業継続計画）を見直し、インシデントごとに必要な対策をまとめましょう。インシデント発生時のフローを決めて社内で共有しておくことで、より迅速な復旧を可能にします。リスクは時代によって変化するため、BCP（事業継続計画）は定期的に見直しを行ってください。

また、原料不足などに直面した際に、サプライチェーンを停止させないためには、複数の物流経路や調達先の確保が必要です。

事前にサプライチェーンのリスクマネジメントを！

サイバー攻撃による被害や自然災害の増加、社会情勢の変化による原材料の不足・価格高騰など、サプライチェーンを脅かすリスクは年々増大しています。安定したサプライチェーンを構築するためにも、サプライチェーンリスクマネジメント（SCRM）は今後さらに重要になってきます。自社だけでなく、同時に関連企業への対策も講じましょう。

サプライチェーンを強化したい企業は、危機管理の情報収集に役立つ「BCPortal」や、グローバル・サプライチェーンのリスク管理サービス「Spectee SCR」の導入をぜひ検討してみてください。システム導入から運用開始まで専任担当者がサポートするため、初めてシステムを活用する企業でも安心です。

「Spectee SCR」についての詳細はこちら

サプライチェーンリスクとは？具体例とマネジメントの基本を解説