サプライチェーンリスクに備える、攻撃リスクを回避する方法とは

サプライチェーンとは？モノが供給されるまでの商流

サプライチェーンリスクについて解説する前に、「サプライチェーン」の定義について押さえておきましょう。

サプライチェーンとは、製造業においてモノが供給されるまでの一連の流れです。

サプライチェーン内部には、数多くの企業が水平分業型に連なっており、ひとつの製品が市場に出回るまでにさまざまな業務プロセスを経ています。

サプライチェーンを構成するプロセス

サプライチェーンを構成する業務プロセスは、主に次の通りです。

製品を完成させるための製造プロセスも重要ですが、原材料の調達や完成品の流通・販売もサプライチェーンに欠かせません。

コロナ禍から見るサプライチェーンリスク

サプライチェーンリスクとは、サプライチェーン内における一部の企業に業務の滞りがあると、供給全体の流れが止まってしまうリスクです。

業務の滞りになる原因は、地震や津波による被災や、情報セキュリティ事故などさまざまですが、直近で言うと新型コロナウイルス感染症（COVID-19）の拡大が代表例として挙げられます。

そこで、新型コロナが与えたサプライチェーンへの影響について、生産体制・物流・人の移動の3つの観点から解説します。

生産体制の寸断

生産体制の寸断は、クラスターの発生や従業員の出勤制限による工場閉鎖や、部品・原材料の供給ストップなどによって一部の生産拠点の稼働が停止することで発生します。

特に自動車のように複数の部品で構成される製品を生産する場合、前工程で部品を製造する生産拠点の稼働がひとつでも止まってしまうと、生産工程全体が停止しやすくなります。

物流の寸断

製造業では、陸上・海上・航空などさまざまな輸送手段を用いて資材を調達しています。

こうした物流がドライバー不足や輸送便の減少などによって遅延・寸断されると、生産用の部材が不足し、工場が稼働停止する可能性が高まってしまいます。

近年は、人件費の安い東南アジアや中国で部品を生産する企業が増加しているため、海外からの輸送がストップすると致命傷になりかねないのです。

人の移動の寸断

感染症対策のために人の移動を制限すると、生産拠点に出勤できない労働者が増加します。

生産工程は工場で働く人がいなければ稼働が困難なため、労働者の移動が停滞すると工場の稼働率は低下してしまいます。

これによって一部の生産拠点に遅延が発生したり、最悪の場合は工場が閉鎖してしまうことで、サプライチェーン全体に混乱を招く原因となります。

過去の大規模な災害から見るサプライチェーンリスク

サプライチェーンリスクとなる災害は過去にも複数発生しています。

本稿では、特に被害の大きかった2011年の東日本大震災とタイ洪水を例に、それぞれのサプライチェーンへの影響を解説します。

東日本大震災

2011年3月の東日本大震災では、東北地方を中心とした大規模な地震や津波により、日本全国のサプライチェーンが壊滅的な被害を受けました。

生産拠点の被災や輸送ルートの断絶、外国人労働者の帰国による生産体制崩壊、計画停電による電力の使用制限など、複数の原因が複雑に絡み合っていたのです。

特に技術流出を防ぐために国内生産を中心としていた高機能部材については、東北拠点のマザー工場が被災したことで世界への供給が途絶えるなど、影響は甚大でした。

タイ洪水

2011年7月から2012年1月まで続いたタイ洪水は、タイのチャオプラヤー川流域で人命や経済に甚大な被害を与えました。

洪水発生地域で被害を受けた工業団地は7か所にのぼり、進出していた日系企業も多くの影響を受けています。

とりわけ被害が目立ったのは、PCや録画再生機に搭載する記憶媒体であるHDD（ハードディスクドライブ）を中心としたサプライチェーンでした。

HDDの世界首位メーカーであるウェスタン・デジタルや東芝などの主力工場が浸水の被害を受けたため、PCメーカーをはじめとしたIT産業に大きな影響を与え、HDDの高騰を引き起こしました。

情報セキュリティ分野に潜むサプライチェーンリスク

業務においてIT技術の利活用が不可欠になった現在、サプライチェーン内の情報をシステムで管理する企業は増えています。

管理する情報へのセキュリティ対策をしていなければ、情報漏洩やサイバー攻撃などもサプライチェーンリスクとなり得るのです。

サプライチェーンの弱点を悪用した攻撃

IPA（情報処理推進機構）は、2020年の企業向け情報セキュリティ10大脅威に「サプライチェーンの弱点を悪用した攻撃の高まり」を挙げています。

サプライチェーンの弱点とは、大企業と関係を持つ中小企業や国外の取引先は、大企業に比べてセキュリティ対策が脆弱である場合が多いという点です。

その弱点を突いた攻撃として、「サプライチェーン型攻撃」が代表例に挙げられます。

攻撃の手口としては、サプライチェーン内で標的となる大企業と関係を持つ中小企業や国外の取引先にサイバー攻撃を仕掛け、そこから大企業へのアクセスを狙います。

これまで数々の大企業がサプライチェーン型攻撃の被害を受けており、直近の2020年1月では、三菱電機が社内ネットワークに対して第三者からの不正アクセスを受け、個人情報及び企業機密情報が外部に流出した可能性があると発表しました。

サプライチェーンリスクの対策法

サプライチェーンは、パンデミックや自然災害、サイバー攻撃など数多くの脅威にさらされています。こうした中、各企業がサプライチェーンリスクへの対策を講じて、容易に寸断されないサプライチェーンを実現する必要があります。

そこで、サプライチェーンリスクの対策法として、基本的な4つのステップを次にご紹介します。

重要拠点のリスクマップの作成

まずは、自社のサプライチェーン内における生産拠点や製造委託先、物流ルートなどの重要拠点を把握し、そこに発生するリスクの調査と評価に基づいたリスクマップを作成します。

調査観点としては、重要拠点が特定の地域に集中していないかどうかや、拠点のある地域における自然災害発生の可能性の高さなどが一般的です。

サプライチェーン内の脆弱性の分析

重要拠点の次は、サプライチェーン全体における脆弱性を分析します。サプライチェーン内の拠点や機能を洗い出し、リスクにさらされやすいポイントを抽出・評価していきます。

例えば、調達プロセスであれば単独に依存しているサプライヤーの有無であったり、生産や物流プロセスであれば代替できる拠点やルートの有無などを調査観点にします。

カテゴリー	主な対策
被害の軽減策	・耐震補強 ・土のうの備蓄 ・感染症患者の隔離用設備
被害発生後の復旧策	・従業員の安否確認 ・復旧計画の事前策定
情報セキュリティ対策	・重要なITシステム、ネットワーク、サービス構成の文書化 ・サイバー攻撃や情報漏えいに関する組織的教育 ・OSやアプリケーションの脆弱性対策
取引先との連携	・取引先との優先供給契約締結 ・サプライヤーへのBCP対応依頼

ワークショップ訓練による実践

最後に、具体的なリスクシナリオに対するワークショップ訓練の実施をして、強化対策の有効性をチェックしましょう。

ワークショップ訓練は、主に次の手順で進めていきます。

これらのプロセスを経て、最終的に実施する強化対策を決定します。

サプライチェーンリスクへの対応で持続可能な供給を

製造業にとって、自然災害や新型コロナウイルス感染症のようなパンデミック、テロなどのサプライチェーンリスクの原因となる脅威とは常に隣り合わせです。

近年は、サプライチェーンの弱点を悪用したサイバー攻撃も警戒しなければならず、サプライチェーンリスクは一層複雑化しています。

各企業が持続可能な供給体制を構築するため、サプライチェーンが抱えるリスクを把握し、効果的な対応策を検討しましょう。