叡智の三猿

三猿×情報セキュリティ×はてな で発信します。

サプライチェーンコントロールの強みと脅威



SPAとは

ユニクロに代表されるアパレル業界からはじまったSPA(製造小売業は、いまや業界の垣根を超えています(家具のニトリ、メガネのJINS 等)。レッドオーシャンで戦う小売業において「勝ち組」になるためのビジネスモデルといわれます。

SPAとは小売業が商品の企画を行い、原料調達、製造、物流、販売に至るサプライチェーン全体をコントロールする仕組みをいいます。

  • 「店頭でいま何が売れているか」
  • 「いま必要とする商品の生産をどこに委託するか」

の情報を小売業が集約して握っています。そのためサプライチェーンを構成する子会社、関係会社、取引先に対して、販売状況の変化に合わせたオーダーを出すことが出来ます。

SPAにより無駄な生産が減り、不良在庫が削減されると共に、販売機会の損失を防いで、売上の最大化が見込めるのです。

生産のブレーキとアクセル

サプライチェーンをコントロールすることについて書きます。

アパレルのような見込生産方式(MTSといいます)をとる業態は、想定される販売量を見込んで生産をします。そのため、生産の開始は販売の開始よりかなり前に実施します。時間軸に沿った生産量の推移と販売量の推移を(図1)で示します。

f:id:slowtrain2013:20200521100606p:plain
(図1)見込生産方式
しかし、見込みで作った製品が見込み通りに売れる保証はありません。

商品が「売れ筋」か「死に筋」かは、販売を開始したら分かります。売れると見込んだ商品が、実際には売れなかった場合を(図2)で示します。赤の点線が想定してた販売量で赤の実線が実際の販売量です。マーチャンダイザー(消費者のニーズに合った商品を適切な価格と数量で、適切な時期と場所で販売する役割のスペシャリスト。MDと略します。)は、このままいくと生産が過剰となり「不良在庫」がたまると認識します。そこで生産を抑える(生産のブレーキ)意思を決定します。それにより不良在庫を削減します。

f:id:slowtrain2013:20200521102552p:plain
(図2)生産のブレーキ

逆の場合もありますね。想定した以上に商品が売れた場合を(図3)で示します。MDはこのままいくと在庫が底をつき「販売機会の損失」を招くと認識します。そこで生産を増強する(生産のアクセル)意思を決定します。それにより販売機会の損失を回避します。

f:id:slowtrain2013:20200521102936p:plain
(図3)生産のアクセル

サプライチェーン攻撃

サプライチェーンをコントロールすることは、熾烈な企業競争のなかで優位にたつ条件です。その一方、情報セキュリティ面からみると、脅威にもなります。

IPA「情報セキュリティ10大脅威 」を毎年発信しています。この2020年版では、組織における脅威の第4位にサプライチェーンの弱点を悪用した攻撃」がランクインしています。
www.ipa.go.jp
サプライチェーンを統括する企業は、強い結びつきを持った、子会社、関係会社、取引先を抱えています。それらの会社に自社の機密情報を預ける必要があります。

しかし、サプライチェーンを統括する企業は正しく情報の管理が出来ていても、子会社、関係会社、取引先にまで、ガバナンスを効かせて、適切なセキュリティ対策を実施することが出来ない場合があります。

そこで、攻撃者はセキュリティ対策が弱い、関連する会社をターゲットとして、サプライチェーンを統括する企業の機密情報を盗むケースがあります。これをサプライチェーン攻撃」と呼びます。

サプライチェーン攻撃」の例をあげます。

テレワークコロナウイルスの影響で、多くの企業が急遽取り入れました。

サプライチェーンを統括するA社は、テレワークのセキュリティ対策として、SSL-VPNによる暗号化技術を用いたプライベートネットワークを構築しています。さらにリモート端末は、仮想デスクトップ環境下での利用に特化したシンクライアント(ローカルにデータの保存ができない)を全従業員に配布しました。

一方、A社の関係会社や取引先は、SSL-VPNは構築していますが、テレワーク用の端末は事務所内で普段から使っている普通のパソコンをモバイルパソコンとして持ち出すこととしました。

A社と関係会社・取引先は、機密情報を共有しています。しかし、関係会社・取引先の従業員は普通のパソコンを自宅で使用していることから、パソコンに保管された情報は漏れやすいのです。

そこで、攻撃者は関係会社・取引先の従業員が使っているパソコンを狙って、A社の機密情報を搾取します。これがサプライチェーン攻撃です。

f:id:slowtrain2013:20200521143531p:plain
サプライチェーン攻撃の例