データコンサルタントおよびデータアナリストの視点から現状を分析すると、セキュリティ関連データのサイロ化、ツール間のデータ連携の欠如、そして多くの異なる製品にわたるメトリクスの標準化不足は、アプリケーション開発およびデプロイメントプロセス全体のセキュリティ効果を著しく低下させていることがデータ分析の結果として示されています。DevSecOpsの実践を効果的に支援するためには、セキュリティ関連データの統合的な収集・分析を可能にするツールとプロセスの構築が不可欠です。
この統合が強く求められる背景には、以下のデータポイントとリスク評価が存在します。
セキュア開発の複雑性増大: 開発者はセキュアでコンプライアンスに準拠したコードを書くことの重要性を認識していますが、現代のDevSecOps主導環境では、対応すべきセキュリティ関連データの種類と量が飛躍的に増加しています。使用する多数のライブラリ、フレームワーク、サービスに存在する脆弱性データや設定ミスデータなどを継続的に追跡し、管理する負担は増大しています。Red Hat社の内部調査データによると、開発者はこうしたニーズに対応する自身の能力に対し、不満を感じる傾向が増しています。ある開発チームからの声としても、「どこを見れば脆弱性がないか、全てが最新か、といったセキュリティ関連のステータスデータを把握するのは正直とても困難なことです。使用している全ての製品や依存関係の脆弱性データを、統一されたビューで確認できる仕組みがないのです」という課題が報告されています。
ソフトウェアサプライチェーン攻撃の脅威拡大: Gartner社の将来予測データによると、2025年までに世界の組織の45%がソフトウェアサプライチェーンに対する攻撃を経験するとされています。これは2021年からの3倍増というリスクデータの上昇を示しており、ソフトウェアの構成要素やその出所に関するデータ(SBOM: Software Bill of Materialsなど)の管理と検証が早急な対策として求められています。
ソフトウェアサプライチェーンを保護することは、金銭的損失、風評被害、データ漏洩といったサイバー攻撃によるインシデントリスクの低減に直接繋がることがリスク評価データから明らかです。ソフトウェアサプライチェーンセキュリティのベストプラクティス、例えば信頼できるリポジトリの利用、依存関係のスキャンによる脆弱性データの早期検出、ビルドプロセスの改ざん防止などを実施する組織は、ソフトウェア全体の品質およびセキュリティポスチャデータを向上させ、システムやデータを攻撃から守ることができます。
これらの脅威の増大は、従来のDevOps手法に大きな変化を促し、セキュリティをソフトウェア開発ライフサイクルの基本的かつ継続的な側面とするDevSecOps戦略の実践を不可避なものとしました。ソフトウェアエンジニアリングのリーダーは、開発ライフサイクルの早い段階でソフトウェアコンポーネントおよび依存関係のセキュリティデータに焦点を当てることにより、ソフトウェアサプライチェーンのリスクをデータに基づいて軽減しています。そして、ソフトウェアファクトリーにおける一貫性、反復可能性、自動化を実現するために、CI/CDパイプラインのあらゆる段階でデータに基づいた統合的なセキュリティ検証ゲート(例えば、既知の脆弱性データを含むコンポーネントの使用をブロックするなど)を導入しています。これにより、リスクデータを早期にフィードバックし、手戻りコストを削減することが可能となります。
データコンサルタントおよびデータアナリストの視点から現状を分析すると、外部人材の管理において、契約や支払に関する財務データ管理は多くの企業で実施されていますが、セキュリティ、コンプライアンス、パフォーマンスといった業務遂行に関する重要な側面に対するデータ管理は、必ずしも十分ではありません。外部委託を含むワークフォース全体の適切なリスク評価とパフォーマンス改善のためには、これらの非財務データを含む包括的なデータ管理の対象とすることが重要です。これにより、外部要因に起因する潜在的なリスクをデータとして可視化し、管理することが可能になります。
ワークフォースのレジリエンス向上を図るためには、変化に対応したデータ収集と管理が必要です。従業員がどこからでも柔軟に業務遂行できる環境を、活動時間データや使用ツールデータなどのデータで把握し、テクノロジーを活用して多様な業務形態全体で一貫した経験データが得られるようにする必要があります。特に、外部人材に対してもプロパー社員と同等の厳格さでデータ収集・管理を行うことが不可欠であり、人材サービスを提供する会社自体も、その提供するサービスに関するコンプライアンスデータやセキュリティ対策データを含め、管理対象に含める必要があります。これは、ワークフォース全体のリスクポスチャデータを統一的に把握するために不可欠です。
近年のグローバルな変化は、サプライチェーン全体(人材サプライチェーンを含む)への注目度を高め、企業にはより大胆な環境的・社会的目標(ESG目標)達成への責任が求められるようになりました。これらの目標達成には、サプライチェーン全体にわたる環境データや社会貢献活動データなどの収集と報告が必要です。企業がより多くの情報に基づいてビジネス上の意思決定を行い、サプライチェーンリスクを軽減し、ESG目標を達成するためには、各プロセスにおけるデータ収集と分析能力の強化が不可欠です。サプライチェーン全体のデータに基づいた可視化なくして、効果的なリスク管理や目標達成は困難です。
これらの課題に対処し、混乱に耐えうる強固な事業基盤を築き、競争優位性を確立するために必要なのは、まさにデジタル化です。デジタル化は、手動プロセスから自動化されたデータ収集、統合、分析、そして可視化への移行を可能にし、組織全体の業務遂行に関するデータに裏打ちされた洞察と、監査可能なデータ履歴を提供します。既にデジタル化を進め、データに基づいた意思決定を実践している企業が、オペレーショナルレジリエンスとビジネス成果において他社のはるか先を行っていることがデータから示されています。
特に現代のビジネスにおいて、ソフトウェア・サプライチェーン(SSC)は極めて重要なリスク管理の対象です。SSCは、ソフトウェアの開発、消費、配信のプロセスを指し、多数の関係者、ソフトウェア構成要素データ、依存関係データが関与するため、セキュリティリスクに対して脆弱であることがデータ分析で明らかになっています。
サードパーティのライブラリを使用したり、脆弱性データを含む自社ライブラリを配布したりすることは、金銭的損失、評判へのダメージ、顧客からの信頼喪失といった広範囲にわたる影響を引き起こすリスクデータを増大させます。プロジェクトが最初に消費するソースコードや推移的依存関係に関するデータを直接管理、監査、保護しない場合、単にセキュアな開発プラクティス(コーディング規約の遵守や静的解析によるコードのチェックなど)を実装し、確立されたポリシーを遵守するだけでは、これらのデータに起因するリスクから十分に保護することはできません。サプライチェーンに含まれる全ての構成要素データとその脆弱性データを継続的に追跡し、管理することがSSCセキュリティの根幹となります。これには、自動化されたツールによるSBOM生成、脆弱性データベースとの連携、署名による整合性検証などのデータ管理手法が不可欠です。
データコンサルタントおよびデータアナリストの視点から現状を分析すると、2022年11月の「ChatGPT」リリースを契機とした生成AI(人工知能)ツールの普及は、データが示すように全世界で急速に進展しており、多くの業界・業種でビジネス成果向上や競争力強化に貢献していることが採用データや各種メトリクスから明らかになっています。一方で、データ分析によると、その強力な機能を悪用したサイバー攻撃の事例も並行して急増しており、新たなリスクデータとして顕在化しています。
サイバー攻撃を受けるリスクは、重要産業や大規模企業に限定される統計的傾向を示すものではありません。規模に関するデータに関わらず、あらゆる企業がサイバー攻撃の被害に遭う可能性があり、その影響はサプライチェーン全体のリスクデータに波及する恐れがあります。特に、セキュリティ態勢に関するデータが十分でない中小企業を起点とするサプライチェーン攻撃やランサムウェア攻撃などのインシデント発生が、近年顕著なデータとして観測されています。
生成AIは、自然で説得力のあるメッセージやメールを作成する能力があり、攻撃者はこれを利用してフィッシング攻撃の有効性データを劇的に向上させています。メールベースの攻撃は、ランサムウェアやサプライチェーン攻撃といった、現在のインシデントデータで最も危険な脅威の主要な侵入口となるため、セキュリティ上の最大の懸念事項の一つです。これは、初期侵入に関するデータ分析からも裏付けられています。
ただ、攻撃者から狙われやすくなっている中小企業では、セキュリティ投資に関する予算データ、専門スキルを持つ人材データ、経営層のリスク認識データなどが大企業と異なる傾向が見られます。そのため、セキュリティ専任者の配置に関するデータが不足しているなど、セキュリティ態勢に関するデータが十分でないことも考えられます。こうした、セキュリティリソースに関するデータが限定的な状況下で、AIを悪用した脅威という進化するリスクデータに備えていかなければなりません。
多くの利益をもたらす可能性を示すデータがある一方で、それに伴うリスクデータも無視できません――。日本の中小企業は、諸刃の剣ともいえる生成AIと、データに基づきどのように向き合っていくべきでしょうか。
この問いに対し、セキュリティ強化に悩む中小企業・組織の情報システム部門、DX推進部門、または中小企業のセキュリティ運用をサポートする企業の担当者に対し、具体的なデータに基づいた洞察を提供すべく、Barracudaと市場調査会社Tech Research Asiaによる従業員数50~200人の日本組織のITプロフェッショナル500人に実施したサーベイ結果レポート「日本の中小企業におけるサイバーレジリエンス」のデータ分析を通じて、現状把握を試みました。
レポートでは、サーベイデータに基づいて「生成AI活用に関する現状と課題を示すデータ」「AIを悪用したサイバー攻撃に対する認識度データと対応状況データ」などに加え、AIを活用したランサムウェア防御などの最適な解決策に関するデータに基づいた解説を行います。これにより、各組織が「自組織のAI成熟度に関するデータ評価、対策や支援が必要な分野がどこにあるのか」を、客観的なサーベイデータと比較しながら特定し、データに基づいたセキュリティ強化策を検討できるよう支援します。
データコンサルタントおよびデータアナリストの視点から、最適なセキュリティ戦略や体制構築をデータに基づいてどのように実現できるのか、といった課題をお考えの方へ。
2022年11月の「ChatGPT」リリースを契機とした生成AI(人工知能)ツールの普及は、データが示すように全世界で急速に進展しており、その採用率データは多くの業界・業種でビジネス成果向上や競争力強化に貢献していることを示しています。しかしデータ分析によると、その強力な機能を悪用したサイバー攻撃も並行して急増しており、新たなリスクデータとして顕在化しています。
このリスクは、組織規模に関するデータに限定される統計的傾向を示すものではなく、あらゆる企業が被害に遭う可能性があり、その影響はサプライチェーン全体のリスクデータに波及する恐れがあります。特に、セキュリティ態勢に関するデータが十分でない中小企業が、サプライチェーン攻撃やランサムウェア攻撃などのインシデントにおいて、重要なリスクデータポイントとなっている現状が観測されています。
生成AIは、自然で説得力のあるメッセージやメールを作成する能力により、フィッシング攻撃の有効性データを劇的に向上させています。メールベースの攻撃は、現在のインシデントデータで最も危険な脅威であるランサムウェアやサプライチェーン攻撃の主要な侵入口となるため、セキュリティ上の最大の懸念事項の一つであり、攻撃経路に関するデータ分析からもその重要性が示されています。
ただ、攻撃者から狙われやすい中小企業では、セキュリティ投資に関する予算データ、専門スキルを持つ人材データ、経営層のリスク認識データなどが大企業と異なる傾向が見られます。そのため、セキュリティ専任者の配置に関するデータが不足しているなど、セキュリティ態勢に関するデータが十分でないことも考えられます。こうした、セキュリティリソースに関するデータが限定的な状況下で、AIを悪用した脅威という進化するリスクデータに備えていく必要があります。
多くの利益をもたらす可能性を示すデータがある一方で、それに伴うリスクデータも無視できません――。日本の中小企業は、諸刃の剣ともいえる生成AIと、データに基づきどのように向き合っていくべきでしょうか。この問いに対し、セキュリティ強化に悩む中小企業・組織の情報システム部門、DX推進部門、または中小企業のセキュリティ運用をサポートする企業の担当者に対し、具体的なデータに基づいた洞察を提供すべく、Barracudaと市場調査会社Tech Research Asiaによる従業員数50~200人の日本組織のITプロフェッショナル500人に実施したサーベイ結果レポート「日本の中小企業におけるサイバーレジリエンス」のデータ分析を通じて、現状把握を試みました。
レポートでは、サーベイデータに基づいて「生成AI活用に関する現状と課題を示すデータ」「AIを悪用したサイバー攻撃に対する認識度データと対応状況データ」などに加え、AIを活用したランサムウェア防御などの最適な解決策に関するデータに基づいた解説を行います。
この分析を通じて、各組織が「自組織のAI成熟度に関するデータ評価、対策や支援が必要な分野がどこにあるのか」「最適なセキュリティ戦略や体制構築をデータに基づいてどのように実現できるのか」といった問いに対する答えを見つけ、データに基づいた効果的なセキュリティ対策を講じるための一助となることを目指します。
サプライチェーン攻撃:データドリブンな防御戦略の構築
サプライチェーン攻撃は、事業継続に不可欠な協力企業や業務委託先を介して、標的組織のシステムへの不正アクセスを試みる攻撃手法です。この攻撃による影響範囲と潜在的損失をデータに基づいて評価し、的確なセキュリティ戦略を策定することが求められます。
1. ゼロトラスト・セキュリティモデルのデータ基盤に基づく導入
ゼロトラスト・セキュリティモデルは、「信頼しない」ことを前提とし、アクセス要求ごとに検証を行うセキュリティ概念です。従来の境界型セキュリティモデルがネットワーク内外の境界防御に主眼を置いていたのに対し、ゼロトラストはクラウド利用の拡大、リモートワークの常態化、そして内部不正リスクへの対応といった現代的な課題に応えるために必要性が高まっています。
このモデルを効果的に導入・運用するためには、以下のデータに基づいた対策が不可欠です。
ユーザー権限の最小化とアクセスパターンの分析: 各ユーザーアカウントに付与される権限を業務上必須な範囲に限定します。さらに、通常時のアクセスパターンをデータとして蓄積・分析し、逸脱する行動を早期に検知できる体制を構築します。
アクセスログの網羅的取得・保護と相関分析: 全てのシステムおよびデータへのアクセスログを網羅的に取得し、改ざん不可能な状態で保護します。これらのログデータを相関分析することで、単一のログでは見過ごされる可能性のある不正アクセスの兆候やセキュリティインシデントの予兆を捉えます。
情報資産への全通信アクセスの可視化と監視: 重要な情報資産へのアクセス経路と通信内容をリアルタイムで可視化し、継続的に監視します。通信データ量の異常な増減や、通常とは異なる宛先への通信などを検知し、迅速な対応を可能にします。
業務利用端末のマルウェア感染状況の定量的把握と対処: エンドポイントにおけるマルウェア感染の有無を継続的にスキャンし、その結果をデータとして集約します。感染が確認された端末の割合や種類、侵入経路などを分析し、パターンに基づいた効果的な対策を講じます。
2. データに基づいた全社的なセキュリティ意識・リテラシーの向上
情報セキュリティ対策は、以下の3つの領域に分類され、それぞれデータに基づいた評価と改善が可能です。
技術的対策: セキュリティツールやシステムの導入による攻撃防御。防御成功率、検知率、インシデント対応時間などの指標で効果を測定します。
物理的対策: 施錠管理、入退室記録の分析を通じた物理的アクセスの統制。不正アクセス試行回数や未許可エリアへの侵入試行などのデータを監視します。
人的対策: 従業員の教育、規程・マニュアルの整備によるヒューマンエラーや内部不正の防止。インシデント報告件数、フィッシング訓練の成功率、理解度テストの結果などをデータとして収集・分析し、対策の有効性を評価します。
これらの対策領域の中で、特に人的対策は、インシデント発生要因の多くを占める可能性があり、データに基づいた重点的な強化が求められます。例えば、高度なマルウェア検知システムを導入しても、検知を回避する新型マルウェア(例:Emotet)は継続的に出現します。また、システムが持つ機能を従業員が十分に理解し、適切に運用できなければ、投資対効果は著しく低下します。個々の従業員がセキュリティリスクを定量的に認識し、適切な判断と行動を取れるよう、継続的な教育と意識向上が不可欠です。インシデント事例のデータ分析を通じて、組織特有の弱点を特定し、ターゲットを絞った教育プログラムを設計することが効果的です。
3. 協力会社とのデータ連携によるサプライチェーン・セキュリティの強化
サプライチェーン・セキュリティは、自社のみならず、連鎖する協力企業全体のセキュリティレベルが問われる領域です。特に、情報資産の授受が頻繁に行われるビジネスプロセスにおいては、いずれか一社のセキュリティ対策の脆弱性が、サプライチェーン全体に波及する重大なインシデントの起点となり得ます。このようなリスクを最小化するためには、協力会社のセキュリティ状況をデータに基づいて評価し、必要なサポートを提供することが重要です。
セキュリティ教育・訓練プログラムの共同実施と効果測定: 人的要因に起因するセキュリティリスクは、サプライチェーン全体に共通する課題です。協力会社に対しても、自社と同水準のセキュリティ意識・リテラシーを涵養するための教育・訓練機会を提供することが望ましいです。訓練の参加状況、理解度テストの結果、模擬攻撃への対応状況といったデータを共有し、サプライチェーン全体でのセキュリティレベルの底上げを図ります。例えば、クイズ形式のeラーニングや標的型攻撃メール訓練などを活用し、その効果を定量的に測定することで、継続的な改善サイクルを構築できます。
データに基づく委託先セキュリティ管理体制の構築: 協力会社が潜在的なセキュリティリスクとならないよう、定期的なセキュリティアセスメントを実施し、その結果をデータとして管理します。特定された脆弱性や改善点については、具体的な対策計画の策定を支援し、進捗状況をモニタリングします。契約時には、セキュリティ要件を明確に定義し、SLA(サービスレベルアグリーメント)に盛り込むことで、相互の責任範囲を明確化します。インシデント発生時の報告体制や情報共有ルールを事前に策定し、有事の際に迅速かつ的確な対応ができるよう備えることも、データに基づいた委託先管理の重要な要素です。
イントロダクション:観測不能なリスクを生む「データの分断」という経営課題
企業の攻撃対象領域(Attack Surface)は、自社が直接管理するIT資産だけでなく、グローバルなサプライチェーンを構成する取引先や海外拠点にまで拡大しています。しかし、これらの外部公開IT資産の網羅的なインベントリが存在せず、脆弱性情報と紐づけたリスクの定量的な評価ができていないケースが少なくありません。これは、観測不能なセキュリティリスクを放置している状態に他なりません。
この「データの分断」という根本課題は、サプライチェーン・マネジメントにおいて、より直接的な経営リスクとして顕在化します。
サプライチェーンにおけるデータサイロ問題と経営インパクトの定量化
グローバルサプライチェーンの複雑化は、データ分析の観点から見ると「データポイントの爆発的増加」と「データ連携の遅延(レイテンシ)」という課題に他なりません。ERP、SCM、MES、CRMといった各種システムにデータがサイロ化している状態では、サプライチェーン全体の状況をリアルタイムに把握し、相関分析を行うことは不可能です。
このデータサイロが引き起こす経営インパクトは、以下のように定量化できます。
予測精度の低下: 過去の販売実績や在庫データが分断されているため、需要予測モデルの精度が低下。結果として、平均15-30%の過剰在庫、または販売機会の損失に繋がります。
意思決定の遅延: 市場の変化や供給の途絶が発生してから、その影響範囲を特定し対策を講じるまでのリードタイムが長大化。対応の遅れが、生産停止や違約金といった具体的な損失を引き起こします。
外部変数の未反映: 地政学的リスクや異常気象といった不確実性の高い外部環境の変化を、予測モデルの変数として組み込めていないため、サプライチェーンの脆弱性が増大します。
事業継続計画(BCP)の実効性は、これらの分断されたデータをリアルタイムに統合し、分析する能力にかかっています。
解決策:統合データプラットフォーム「Liferay DXP」によるサプライチェーンのデータドリブン化
これらの課題に対する本質的な解決策は、分断されたデータを一元的に統合・可視化・分析する「統合データプラットフォーム」の構築です。「Liferay DXP」は、その中核を担うソリューションです。
Liferay DXPは、単なる情報共有ポータルではありません。サプライヤー、バイヤー、物流パートナーといったサプライチェーン上のあらゆるステークホルダーと、社内の各種業務システムをAPI経由で接続し、データをリアルタイムに収集・正規化するデータハブとして機能します。
導入によって得られるデータ分析上の提供価値は以下の通りです。
全域網羅的なKPIダッシュボード: 在庫回転日数(DIO)、オーダーフルフィルメント率、キャッシュ・コンバージョン・サイクル(CCC)といった重要業績評価指標(KPI)をリアルタイムでモニタリングし、異常値の早期検知と根本原因の分析を可能にします。
役割ベースのデータアクセスと分析: 経営層には全社的な財務インパクトのサマリー、サプライヤーには発注・納期データ、物流担当者には輸送状況データといった形で、役割に応じた分析ビューを提供。データに基づいた迅速なアクションを各担当者が実行できるよう支援します。
段階的なデータ統合アーキテクチャ: 既存のシステム資産を活かしながらスモールスタートでデータ連携を開始し、投資対効果(ROI)を計測しながら段階的に対象範囲を拡大できます。
グローバルデータの正規化: 多言語・多通貨対応により、グローバルに散在するオペレーションデータを標準化し、拠点間のパフォーマンスを同一の基準で比較分析することを可能にします。
本分析と提案が貢献できる対象
勘と経験に依存したサプライチェーン管理から脱却し、データドリブンな意思決定プロセスを組織に実装したい経営層および事業部門。
サイロ化した社内システムからデータを統合し、全社横断的な経営・事業リスクを可視化・定量化する必要があるDX推進部門、情報システム部門。
事業継続計画(BCP)を形式的なものから、リアルタイムデータに基づく実効性の高いものへと進化させたいリスク管理部門。
エグゼクティブサマリー:個社最適化の限界と、データに基づくエコシステム・リスクマネジメントへの転換
サプライチェーン攻撃は、もはや単一組織のセキュリティインシデントではなく、事業エコシステム全体を機能不全に陥らせる経営リスクです。IPA(情報処理推進機構)の「情報セキュリティ10大脅威」において「サプライチェーンの弱点を悪用した攻撃」が常に上位に位置し続けるという事実は、従来の個社最適化されたセキュリティ対策が構造的な限界に達していることを定量的に示唆しています。
本質的な課題は、自社の管理領域を超えたサプライチェーン全体のリスクを、客観的なデータに基づいて評価・管理する仕組みが不在である点にあります。本稿では、この課題をデータ分析の観点から構造化し、その解決アプローチを提示します。
リスクの根源:観測不能なアタックサーフェスとデータ管理の欠如
サプライチェーンリスクの急増は、**「アタックサーフェス(攻撃対象領域)の無秩序な拡大」**というデータ管理上の問題に起因します。サプライチェーンは、セキュリティレベルや採用技術が異なる多数の組織から構成される複雑なネットワークであり、その全体像は単一の組織からは観測困難です。
攻撃者は、このネットワーク全体の脆弱性データを分析し、最も防御が手薄なノード(関連会社や取引先)を特定して初期侵入の足掛かりとします。特に、IT部門がその存在と状態を正確にデータとして把握していない**「未把握の外部公開IT資産」**(例:事業部門が独自に契約したクラウドサービス、テスト用に構築され放置されたサーバー)は、脆弱性スキャンの対象から漏れ、パッチが適用されないまま放置される傾向にあります。
これらの「観測不能な資産」の存在は、組織全体の脆弱性管理カバレッジ率を著しく低下させ、データに基づいた網羅的なリスク評価を不可能にする根本原因となっています。
解決アプローチ:データドリブンなアタックサーフェス・マネジメント(ASM)の実践
この課題に対処するには、勘や経験に頼った場当たり的な対策ではなく、データに基づいた継続的なリスク評価プロセスを構築することが不可欠です。その具体的な手法が、**アタックサーフェス・マネジメント(ASM)**です。
ASMの実践とは、以下のデータ処理プロセスを自動化・継続化する仕組みを構築することを意味します。
データ収集 (Inventory): 自社だけでなく、子会社、関連会社、主要サプライヤーを含むサプライチェーン全体の外部公開IT資産(ドメイン、IPアドレス、Webサイト、証明書等)のインベントリデータを、網羅的かつ自動的に収集します。
データ分析・評価 (Analysis & Scoring): 収集した資産情報と、既知の脆弱性データベース(CVE等)や設定不備の情報をリアルタイムに突合し、各資産のリスクを自動的にスコアリングします。
対策の優先順位付け (Prioritization): 算出されたリスクスコアに基づき、対応すべき脆弱性の優先順位を客観的に判断し、インシデント発生確率の高いものからリソースを配分します。
子会社やグループ会社を多数保有する企業にとって、これらの管理対象資産データは膨大な量にのぼります。手動での棚卸しやExcelベースでの管理では、データの鮮度と網羅性を担保することは現実的に不可能です。したがって、スケール可能なデータ収集・分析基盤の導入が、実効性のあるサプライチェーンリスク管理の鍵となります。