ビジネスはもはや、デジタルインフラなしでは成り立たない。社内だけでなく、サプライチェーン全体がソフトウェアを介してつながっており、企業はそのネットワークを悪用したサイバー攻撃という脅威に備えなければならない。近年は、フィジカル（物理的）な機械設備もネットワークに接続されるようになったことから、攻撃の影響範囲が拡大し、対象と経路も多様化した。

そんな今、企業はサプライチェーンのサイバー空間とフィジカル空間に潜むリスクをどうすれば把握できるのか。その答えは意外にも、「スコープ3」の環境データの活用にある。（翻訳・編集＝遠藤康子）

スコープ3データの意外な使い道

サプライチェーンにおけるスコープ3排出量の算出は実に煩雑な作業だ。サプライチェーンの全階層が環境に与える負荷の全体像を把握するために、取引関係や物流網、隠れたエネルギー消費量、資源の流れなど、これまで体系的に記録されてこなかった情報を可視化しなければならない。

こうしたデータは一般的に、企業のサステナビリティ部門が取りまとめるものであり、貴重な情報の宝庫でもある。原材料の出所や製品の流れ、取引関係の重要度といった詳細が盛り込まれたこのサプライチェーン相関図からは、どのサプライヤーが事業にとって不可欠か、依存度が大きいのはどのサプライヤーか、どのような地理的・地政学的な事情があるのか、といったことが見えてくるからだ。製造業の場合、こうしたスコープ3データを活用すれば、サプライチェーンに潜む環境以外のリスクをあぶり出すことができる。

環境以外のリスクとは何か。この点を説明するために、いったんソフトウェア業界に目を転じてみよう。2020年にネットワーク監視システム会社ソーラーウィンズのソフトウェアを介したサイバー攻撃が起きた。悪意あるコードが含まれたアップデートが配布され、同社製ソフトウェアを使用する米国政府や多くの企業でシステム障害が連鎖的に広まったのだ。デジタルインフラに依存していると、どれほど気をつけていても、利用するソフトウェアがサイバー攻撃の対象や経路になり得ることを示した一例である。こうして、「ソフトウェアサプライチェーン・セキュリティ」という分野が生まれた。

製造業中心のサプライチェーンを抱える企業にとっても、ソーラーウィンズのようなケースは全く無縁だというわけではない。製造業では、工場の生産ラインや環境を制御・運用するソフトウェアとハードウェアの技術「OT（Operational Technology）」が用いられている。OTシステムはこれまで内部ネットワークにとどまり、外部の脅威にさらされることが少なかったが、自動化やクラウドサービスの進化でIT技術との連携が進んだ。こうした制御・運用システムは事実上ネットワーク上で稼働していることから、一般的に「サイバーフィジカルシステム（CPS）」と呼ばれている。

ソーラーウィンズのような事態がサイバーフィジカル内で起きた場合は、より深刻な結果を招く可能性がある。ソフトウェアサプライチェーン内に悪意ある依存関係が潜んでいれば、データ流出や不正アクセスが可能になるし、OTシステムに侵害された機器や装置が含まれていれば、生産ラインが停止したり、環境制御が無効になったり、物理的工程が操作されて危険な事態が起こったりする恐れがある。影響の範囲は情報空間のみならず物理的な空間にも及ぶのだ。

危惧されていたサイバーフィジカルのリスク

こうしたリスクは決して新しいものではない。米国土安全保障省（DHS）は2007年3月にオーロラ発電機テストという実験で、この種の脅威の概念実証を行っていた。巨大な発電機を設置し、1台のノートパソコンで操作プログラムを書き換えて回路遮断器を高速開閉させたところ、重量27トンの発電機は激しく振動して自壊してしまった。マルウェアを使ったわけでも、ソフトウェアの欠陥を突いたわけでもない。外部から接続できる制御用の通信プロトコルにアクセスして一部機器に細工しただけである。ここで重要なのは攻撃の手法ではない。ソフトウェアのコマンドだけで取り返しのつかない物理的な破壊が起こり得ることだ。

工場では産業制御システム（SCADA）が生産ラインを動かしている。低温物流（コールドチェーン）には自動の温度管理やアクセス管理が不可欠だ。データセンターは電力と冷却水をコントロールするビル管理システムなしでは稼働できない。こうしたシステムのどこかが攻撃されれば、物理的な影響は免れない。

サプライチェーンをさかのぼれば、問題はいっそう膨らむ。製造委託業者に物流パートナー、低温保管サービス業者などが運用しているOTシステムはサプライチェーンの流れに直接影響を及ぼすことが可能だ。委託先企業のサイバーフィジカルに関するセキュリティ体制は、自社の事業を左右するリスクそのものなのである。ところが、企業はサプライヤーのITリスクばかりに目を向け、OTのセキュリティを見落としている。

サイバーフィジカルに生じた責任の空白

サイバーフィジカルのセキュリティを強化するためには、機械設備を精査する必要がある。使用している機器の製造元や製造国、制御用ソフトウェアの構成内容、アップデートの具体的な内容、通信機能の有無、アクセス権限を有する組織などを徹底的に確認しなければならない。

実際、米国内のコネクテッド機器には仕様書などに記載されていない通信機器が隠されている可能性が示唆されている。また、中国のハッカー集団ヴォルト・タイフーンが中国政府の支援を受け、米国内の公共インフラ制御用OTシステムに破壊工作目的でアクセスを繰り返していたことも明らかになっている。

サイバーフィジカルにこうした盲点が生じるのはなぜなのか。それは、ITセキュリティ部門はソフトウェアとネットワークだけ、設備管理部門は機械設備の調達だけにしか目を向けていないからである。機械設備を制御するOTシステムは実際にどんな処理を行い、どこに接続されているのか、機械設備の製造元に法的に介入したり、自社のOTシステム機器にアクセスしたりできるのはどの国の政府なのか――。こうした疑問を解明しようとする部門は1つもない。部門間のはざまで放置され、完全に見落とされているのが現状だ。

スコープ3データをリスク評価に活用する

そうした盲点を特定する上で役に立つのが、サステナビリティ部門が取りまとめているスコープ3データだ。企業がスコープ3算出時に大きな注意を払っているのは、大規模な施設を有し、生産量とエネルギー消費が多く、代替がきかないサプライヤーである。それは同時に、環境以外の面でも重大なリスクをはらむ取引先である。

スコープ3データはサプライチェーンのつながりを最も細かに網羅した唯一無二のマップだ。しかし、幅広く活用できるにもかかわらず、単に環境に限定されたデータセットとしてしか扱われていない。このスコープ3データを、より広範なリスク評価のツールとして活用すれば、これまで見えてこなかった「盲点」をあぶり出せるだろう。

スコープ3データという形でサプライヤーとの関係がすでに明確になっているなら、スコープ3はサイバーフィジカル・セキュリティに関して検討を始める格好の足掛かりとなるはずだ。参考にできるOTセキュリティのガイドラインはすでに存在しているし、機械設備の出所は調達要件に盛り込んで確認するようにすればいい。ソフトウェアサプライチェーンの安全確保に向けた取り組みはここ10年で、依存関係の追跡や来歴の認証、構成証明といった面で格段に進歩してきた。本格的なサイバー攻撃を未然に防ぐため、次はサプライチェーンのサイバーフィジカル・セキュリティに本格的に乗り出すべき時だ。