サプライチェーン・セキュリティ：見た目ほど簡単ではない

Supply Chain Security – Not As Easy As it Looks

2021/08/06 SecurityBoulevard — SolarWinds への大規模な攻撃は、サプライチェーンの脆弱性を突いた典型的な例である。ロシアからの SolarWinds 攻撃により影響を受けた企業の大多数は、SolarWinds という名前すら聞いたことすらなく、重要なインフラを同社に依存していることも知らなかっただろう。実際のところ、現代における、製造業や、テクノロジー、インターネット、テレコミュニケーションのネットワークは、複雑なサプライチェーンの網 (正確には supply web) に依存しており、破壊や攻撃を受けやすいものとなっている。

すべての防衛関連企業や、情報機関、国防総省が、この問題に対処しようとしている。その一方で、民間企業にとっては、サプライチェーンのセキュリティが、製品やサービスを効果的に提供できるか、あるいは廃業に追い込まれるかの、分かれ目となっている。しかし、自社のサプライチェーンを特定し、依存関係を確認することは、非常に複雑で困難なものとなる。サプライチェーンの可視性を高め、サプライチェーンのセキュリティと回復力を確実にするために、実務的かつ法的な観点から、今でもできることが、いくつかある。

グラス１杯のミルク

たとえば、１杯のミルクがあるとする。そのグラスに入ったミルクを手にするまでに、必要となるサプライチェーンとはなんだろう？ 最も基本的なこととして、グラス１杯のミルクに必要なのものは、グラスと牛だけだが、ここではグラスの話は省くことにする。グラス１杯のミルクのサプライチェーンは極めて複雑であり、土地／草／水／飼料／出荷／産地へのアクセス／牛の供給／糞尿／牛舎／搾乳機／電気／貯蔵／冷蔵／輸送／低温殺菌／カートン／ラベル／広告／宣伝／店舗などで構成される。そしてお客は店へ行き、ミルクを買い、家に持ち帰り、冷蔵し、そして、もちろん、グラスを探さなければならない。さらに、牛乳輸送車を動かすためのサプライチェーンや、電気を確保するためのサプライチェーン、業者や仕入先や小売店への支払いを確保するためのサプライチェーン (銀行振込やインターネット決済システム) などを考慮に入れると、より複雑なサプライチェーンとなる。

そこに、すべてが機能するために必要なコンピュータ／ルーター／ハブなどを加えれば、いっそう複雑になる。そして、それらのコンピュータやルーターが機能するために必要な、チップ／ソフトウェア／コードなどを加えることもできる。そして最後に、これらすべてを機能させるために必要な、人のサプライチェーンが存在する。ここには、スキルや採用などがあり、農場や工場やオフィスに人を送るためのインフラなどが含まれる。これら、すべてが、１杯のミルクのためにあるのだ。酪農家がサプライチェーンの相互依存関係や出所を、すべて把握することは不可能だろう。しかし、どこから飼料を調達しているのか、どこから機械を調達しているのか、どのように加工業者への輸送が行われているのかを把握し、少なくとも、これらのインフラに関連するリスクについては、ある程度の見識を持つべきだ。飼料は安全か？汚染されていないか？供給は信頼できるのか？飼料の予備の供給者はいるのか？その供給者の飼料は安全なのか？といったことだ。

リスクを知る

どの企業にとっても、サプライチェーン・セキュリティを考える上での最初のステップは、重要なサプライチェーンを識別し、そのサプライチェーンの障害に伴うリスクと影響を特定することだ。サプライチェーンの障害には、混乱 (例：重要な製品がスエズ運河で封鎖された船に乗っている) 、汚染、保護の欠如などがある。一般的に、私たちは CIA と呼ばれるものに注目する。機密性 (confidentiality) へのリスク、完全性 (integrity) へのリスク、可用性 (availability) へのリスクである。つまり、あなたのビジネスが何であり、何に依存しているかを、考えてほしい。ベンダーや、サプライヤー、通信、インターネット、輸送などの、リスク環境におけるキーパーソンを特定する。コンピュータやネットワークへのアクセス権を持つ者、クラウド・プロバイダー、サービス・プロバイダーなども含める。基本的には、ビジネスを継続するために必要なものである。あなたは誰に依存しているのだろうか？

報告書と保証書

サプライチェーンのコアには、人間関係がある。これらの関係は、多くの場合、明示的または暗示的な契約により定義される。CAT-6 ケーブルを地元の Staples や Best Buy で、またはドラッグストアで購入する場合、そのケーブルが本来の役割を果たすだけではなく、ロシアの GRU が設計した監視チップが内蔵されず、通信内容をサンクトペテルブルクの誰かに送ることができないことを、あなたは期待している。地元の CVS ショップは、信頼できるサプライヤーからケーブルを購入し、そのサプライヤーは信頼できるメーカーからケーブルを購入し、そのメーカーは製造と市場への輸送のプロセスを管理していたと考えられる。また、CVS ショップは、不審者が店に入ってきて、本物の CAT-6 ケーブルを、その盗聴ケーブルと交換するのを防ぐための、何らかのプロセスを持っていると期待している。

つまり、サプライチェーン・セキュリティを信頼しているのだ。しかし、法的な観点から見て、この信頼は妥当なものだろうか？結局のところ、お客と CVS ショップの間には、正式な契約が存在しない。ただ、ケーブルを買っただけだ。通常、この販売に関する取引は、米国法統一商法典第２条の対象となる。何かを売るときは、単に製品を売るだけではない。店舗側は、売っているものに欠陥がないこと、それが意図されたものであること、意図された用途に適合することを、保証／表明する。 販売した商品の性質を変えるようなサプライチェーンの違反は、適合性の保証などへの違反となり、リステリア菌に汚染された牛乳を飲んだ人が病気になった場合と同様に、店舗は責任を負うことになる。このように、製品やサービスに関する明示的／黙示的な保証に応えるためには、サプライチェーン・セキュリティが必要となる。

誰かの家にペンキを塗ることに同意したのに、ペンキ会社の製品がスエズ運河の渋滞のために手に入らないとしたら、契約違反の責任を負うかもしれない。より正式な契約では、特定の品質の製品を特定の時間に納品することが約束されているかもしれない。サプライチェーン・セキュリティの問題は、こうした契約の違反につながる可能性がある。追加の責任は、不法行為の理論に基づいて課されることもある。サプライチェーンの保護を怠った企業は、無謀な行為や過失を犯したとなされる可能性があるため、ベンダー／サプライヤー／消費者に対して、自分たちの義務を遂行しなければならない。

プッシュバック

サプライチェーンは、定義上、相互依存関係にある。契約法や不法行為法を用いてサプライチェーン・セキュリティを強制する場合の問題点は、契約に基づいて訴えるためには、契約の Privity (契約当事者または約束の受取人) でなければならないことが多いことだ。欠陥のある CAT-6 ケーブルを購入した企業は、おそらく CVS ショップを訴えることができるが、契約違反の理論に基づいて、ケーブルを配送したトラック会社や、ケーブルを熱シールした会社、ケーブルを製造した会社、ケーブルを設計したエンジニアを訴えることができるだろうか？おそらく無理だろう。

また、不法行為 (過失) の場合であっても、サプライチェーンを確保できなかった当事者に何らかの注意義務があり、その結果、被害を受けることが合理的に予見できたことを示す必要がある。サプライチェーンの不法行為責任は、契約責任よりも広範囲に及ぶと思われるが、誰が何のために訴えられるかという点では大きな制限がある。ただし、それが重要な理由としてあるのは、責任や潜在的な責任が行動を促すからである。サプライチェーンの障害に対する責任があれば、そのリスクを軽減するためにリソースを投入するだろう。そのような考え方がなければ、誰も行動に移さないだろう。

文書化する

短期的に見て、サプライチェーンのセキュリティを軽減する最も効果的な方法は、(1) 製品やサービスのサプライチェーンを特定すること、(2) サプライチェーン上のベンダーやサプライヤーに関連するリスクを特定すること、(3) サプライチェーン上のベンダーやサプライヤーに、リスクを特定して軽減するための合理的な手段を講じることを義務付け、自社のリスクを軽減することとなる。それは、終わりのない責任転嫁のゲームでもある。重要なプロバイダーとの契約書／発注書／作業明細書や、その他の法的な取り決めにおいて、サプライチェーンの機密性 (confidentiality)、完全性 (integrity)、可用性 (availability) の観点から、何をしてほしいのか、どのような基準を採用してほしいのか、どのようにコンプライアンスを証明／監査してほしいのか、コンプライアンスに違反した場合の結果について、明確にする必要がある。

また、サプライチェーンやセキュリティに関する規制上の要求事項があれば、それも明らかにする必要がある。さらに、これらの要件を、少なくともプロセスにおいて重要なベンダーやサプライヤーに「押し付け」、ベンダーが失敗した場合には、ベンダーに責任を負わせるようにしたい。このことは、貴社のベンダーやサプライヤーが、貴社にも同じ基準を課そうとすることを意味し、これらの課題に対応する準備が、貴社には必要とされる。大きな力には大きな責任が伴う。サプライチェーン・セキュリティは非常に困難である。短期的には、企業がサプライチェーンにおける重要な依存関係を特定し、依存先に義務と責任を負わせながら、サプライチェーンの回復力を高めるための準備をすることが重要だ。そのためには、時間と労力と資源が必要であり、また、慎重な交渉が必要となる。しかし、それは、会社を存続させるか失うかという、未来への分岐点でもある。誰も、こぼれたミルクで泣きたくはないだろう。

なんというか、訳していて、とても気分の良くなる文章であり、また、ロジックのつづれ織りでもあります。こういう翻訳は、とても楽しいものです。ものごとを俯瞰して捉えて、５W1H を意識しながら、構成する要素を分類して整理する。言うのは簡単ですが、書き手は大変です。でも、それがあるから、サプライチェーン・セキュリティのフレームワークが、すんなりと頭に入ってきます。この後書きを書きながら、John Zachman の Enterprise Architecture Framework を紹介したくなりました。ついでと言ってはなんですが、その他のドキュメントも、Documents メニューに加えましたので、よろしければ ど〜ぞ。