サプライチェーンにおけるクラウド活用、リスクの考え方とは
はじめに
「ジョーシス式ITガバナンス」の第3回目は、SaaS(Software as a Service)等クラウドサービスでデジタル化されるサプライチェーンにおけるリスク管理について考えます。
サプライチェーンとは、「原料調達に始まり、製造、在庫管理、物流、販売などを通じて、消費者の手元に届くまでの一連の流れ」(SMBC日興証券用語集)を意味します。ここにも例外なく、デジタル化の波が押し寄せており、それに伴う適切なリスク管理が重要となります。
1.サプライチェーンに組み込まれるクラウド
これまでもサプライチェーン管理は重要な経営課題でしたが、最近は、特に注目が高まっています。過去数年の間には、コロナ禍、ウクライナ情勢、中台関係の緊張化といった地政学的な要因を背景としたイベントが立て続けに発生し、今なお、資源・農産物・半導体の調達ルートの再考を迫られています。
そこで、サプライチェーンを可視化し、リスクに応じて柔軟に対応するするため、SaaS等クラウドを活用したデジタル化への関心が高まっています。今や、SaaS等クラウドサービスはサプライチェーンの中に組み込まれていると考えて良いでしょう。
サプライチェーン管理において影響が出やすい企業として、例えば下記が挙げられます。自社のみで完結できる企業はありませんので、企業規模は問いません。
グローバルなサプライチェーンを持つ製造業
世界に交通・貨物網を持つ航空および関連産業
世界各地から資源や製品を調達や貯蔵する商社・流通・倉庫
国内外で多店舗展開をする飲食や小売店チェーン
特に、日本の製造業には「グローバルニッチ」と呼ばれる中小企業が多く存在し、世界中のサプライチェーンと深くつながっています。
2.サプライチェーンにおけるセキュリティリスク
2.1 62%の企業がクラウドでサプライチェーンのデジタル化を推進
大手コンサルティングファームPwCが2024年1月から2月にかけて実施した調査「PwC’s 2024 Digital Trends in Operations Survey」によれば、62%の回答者が、サプライチェーンのデジタル化においてクラウドを部分的にでも活用していると応えました。第2位となった55%の機械学習を含むAI(人工知能)を抑え、最も導入が進んでいるテクノロジーとなりました。
したがって、サプライチェーンにおけるITガバナンスを考える場合、SaaS等クラウドサービスの管理は重要な経営課題として認識する必要があります。そして、サプライチェーンのデジタル化は一段と加速することが予想され、常に最新のバーションを利用できるクラウドサービスが中心となっていくでしょう。
今後、企業にはサプライチェーンにおけるセキュリティリスクを抑えるための適切なガバナンスを敷くことが求められていきます。
2.2 サプライチェーンにおけるクラウドが抱えるリスク
SaaS等クラウドサービスは便利な一方、適切に管理しなければ、セキュリティホールとなり、多大な損失をもたらすリスクを抱えています。例えば、下記のようなリスクが想定されます。
利用率の低いSaaSのIDがハッキングされて気が付くことに遅れている間に、社内ネットワークに侵入されてランサムウエアが配布されてしまう
退社した社員が使っていたSaaSのIDが放置されてしまい、競合先に転職した社員が重要情報にアクセスして利用してしまう
情報システム部門が管理していないシャドーITを経由して情報が流出する、安全対策が採られずに残された脆弱性が攻撃されてしまう
3.リスクを把握するための視点
3.1 部門横断的なクラウド管理が求められる
サプライチェーンは調達部門が管理し、デジタル化はDX推進部門が関与し、情報システム部門が管理するといった複数部門が関係している企業もあります。サプライチェーンのデジタル化は部門横断的な取り組みである一方、利用しているSaaS等クラウドサービスに対しては、適切なリスク評価や一元的な管理が求められていくでしょう。
3.2 クラウドリスクを把握するためのステップ
デジタル化するサプライチェーンにおけるリスクの洗い出しは、次の様な手順が考えられます。具体的な製品を想定すると分かりやすくなります。サプライチェーンには自社だけでなく、複数の会社が関わりますが、まずは自社グループで把握している範囲で可視化と検証を行うところから着手をしていきます。(他社との関係で生じるリスクについては別の記事で取り上げます)
本来は複雑なプロセスがありますが、ここではポイントを理解するために簡略化します。サプライチェーンにおけるSaaS等クラウドサービスの管理という観点からは、最低限、下記のステップを踏む必要があります。
ステップ1:
製品が完成して顧客に届けるまでのサプライチェーンを徹底的に分解する
ステップ2:
このプロセスで情報システム部門が管理しているソフトウエアやSaaS等クラウドサービスを棚卸しする
ステップ3:
各ソフトウエアやクラウドサービスの利用状況を把握する
ステップ4:
情報システム部門の管理外にあり、各部門で使用しているSaaS等クラウドサービスを棚卸しする(シャドーIT)
おわりに
ただ、こうした対応をスプレッドシートを台帳代わりとして、一つ一つ入力していく手作業では、網羅的かつタイムリーに管理することは困難です。さらに、SaaS等クラウドサービスを数十、100以上利用している企業は珍しくなく、管理する対象が多くなります。
こうした手作業での管理には作業工数がかかります。情報システム部門が本来注力すべきITインフラの整備や高度化、DX推進といった重要な業務の時間が奪われてしまいます。そもそも手作業は、ヒューマンエラーで管理漏れのリスクも抱えています。
わずかなセキュリティホールを突いたサイバー攻撃で発生する損失を想定すれば、統合管理ができるツールを導入して可視化と自動化を実施することが有効です。
そして並行的に、多層防衛、ゼロトラストポリシーの導入、SaaS審査などのより高度なセキュリティ施策も実施していく必要があります。
ジョーシスは、SaaS管理プラットフォーム(SMP:Saas Management Platform)であり、SaaS等クラウドサービスの一元管理やシャドーITの検知のほか、ITデバイスのアウトソース・管理といった統合管理プロダクトを提供しています。また、SaaS審査やコスト最適化のご相談にも対応しています。少しでも気になることがあれば、気軽にお問い合わせください。
記事で取り上げて欲しいテーマやご意見・ご感想等も歓迎です。
お問い合わせ note@josys.com
ジョーシスについて https://jp.josys.com/
執筆者:川端隆史 ジョーシス株式会社シニアエコノミスト
この記事が気に入ったらサポートをしてみませんか?