具体的な方策の一つとして坂口氏が挙げるのが、サプライヤーの“選択の自由度”を高めることだ。

「仮に別の国にあるサプライヤーが、コストは高いけれど、同等の部品を供給できる能力を持っているとすれば、『何か起こったら10倍の金額を払うから、優先的に部品を供給してほしい』という約束を交わしておくのです。こうすれば、たとえメインのサプライヤーが有事で部品を供給できなくなっても、バックアップが可能です。しかもめったに起こらないことなので、一時的に10倍の金額を払ったとしても、さほど大きな財務負担にはなりません」

サプライチェーンを脅かす多様なリスク。企業に求められるマネジメントとは?未来調達研究所 調達・購買コンサルタント
坂口孝則氏 
大阪大学経済学部卒業後、電機メーカー、自動車メーカーに勤務。原価企画、調達・購買に従業。現在は、製造業を中心としたコンサルティングを行う。『買い負ける日本』『営業と詐欺のあいだ』『未来の稼ぎ方』(以上、幻冬舎新書)、『製造業の現場バイヤーが教える 調達力・購買力の基礎を身につける本』『調達・購買の教科書』(共に日刊工業新聞社)など多数の著書がある。

サイバー上の脆弱性に関する最新情報を常に把握し、サプライヤーに発信する

サプライチェーンに関わるリスクの中でも、ここ数年、特に難しい対応を迫られているのがサイバーセキュリティーに関わるリスクである。坂口氏は、「日本の製造業は産業構造上、サイバー攻撃にさらされやすい弱点を抱えています」と指摘する。

「サイバー攻撃は、サプライチェーンの中でも特に脆弱性のある所を狙って仕掛けてきます。日本企業のサプライチェーンは多くの中小サプライヤーによって構成されていることが特徴で、これらの中小企業の中には、パソコンのOSをアップデートしていない、ウイルス対策を行っていないといった不備がある企業が少なくありません。そこを付け狙われて被害を受けるのです。海外の製造業は、部品もグループ内で作る企業が多いので、グループ全体のセキュリティーを統一のポリシーとルールで管理できています。それに対し、外部のサプライヤーから部品調達する割合の高い日本の製造業は、構造上どうしても攻撃者に狙われやすく、ひとたび攻撃を受けると一気にダメージが広がってしまいます」

日本の製造業は、サプライチェーンにおけるサイバーセキュリティーのリスク管理を調達・購買の担当者に任せっきりにしているケースも多い。ITやサイバーセキュリティーに関する知見の乏しさから、サプライヤーに対する管理が甘くなってしまう傾向もあるようだ。

「社内のCSIRT(コンピューターセキュリティーインシデント対策チーム)やPSIRT(製品セキュリティーインシデント対策チーム)などと緊密に連携し、脆弱性に関する最新情報を常に把握した上で、各サプライヤーに発信するといった体制を整えるのが望ましいといえます」と坂口氏は提言する。

もう一つ、坂口氏が注意喚起するのは、ネットワーク経由の攻撃だけでなく、パソコンやサーバーにアナログな手法で直接仕掛けられる攻撃への防御も怠らないことだ。攻撃者がウイルスを仕込んだUSBメモリーをパソコンやサーバーに挿し込んで感染させたり、情報を抜き取ったりするという手口は意外に多いという。人の出入りに関する管理が不十分な中小サプライヤーは、特に狙われるリスクが高い。

坂口氏は、「サプライチェーンのリスクマネジメントは、生産を継続させるだけでなく、会社そのものの存続と発展に関わる重要な経営課題です。経営者には、その重要性をしっかりと認識し、自社のみならず、サプライチェーン全体でリスクマネジメントを強化していく姿勢が求められています」と語る。

多様化、複雑化するサプライチェーンのリスクを抑えるには、強烈なリーダーシップによるマネジネント変革が必須といえる。