見過ごしてない?サプライチェーンのセキュリティ対策
セキュリティを知りたい
先生、「サプライチェーン攻撃」って最近よく耳にするけど、具体的にどんな攻撃なの?
セキュリティ研究家
いい質問だね!「サプライチェーン攻撃」は、商品を届けるまでのつながりを悪用した攻撃なんだ。例えば、部品を製造する会社が攻撃されると、その部品を使った製品全体に影響が出る可能性があるんだよ。
セキュリティを知りたい
なるほど!でも、どうしてそんな回りくどいことをするの?
セキュリティ研究家
セキュリティの強い大企業を狙う場合、直接攻撃するよりも、取引先などセキュリティが弱いところを攻撃する方が侵入しやすいんだ。だから、一見関係なさそうな会社でも、セキュリティ対策が大切なんだよ!
サプライチェーン攻撃とは。
ものを作り、お客さまに届けるまでの一連の流れを「サプライチェーン」と言いますが、この流れが悪用されるサイバー攻撃が増えています。これを「サプライチェーン攻撃」と呼び、大きく分けて二つの種類があります。一つ目は、パソコンやスマホなどの機器や、その中で動くプログラムを作る段階で、こっそりウイルスを仕込む方法です。プログラムの更新データにウイルスを混ぜてしまう場合もあり、2017年には、パソコンを掃除するソフトにウイルスが紛れ込んだ事件も起きました。これは「ソフトウェアサプライチェーン攻撃」とも呼ばれます。二つ目は、攻撃したい会社の取引先や関連会社など、つながりのある会社をまず攻撃し、そこから目的の会社に侵入する方法です。特に、セキュリティ対策がしっかりしている大きな会社は侵入が難しいため、比較的小さく、対策が十分でない会社が狙われがちです。情報処理推進機構が出している「サイバーセキュリティ経営ガイドライン」では、経営者が気をつけなければならないこととして、「自社だけでなく、取引先も含めたサプライチェーン全体のセキュリティ対策が重要」とされています。自分の会社を守るだけでなく、関わる会社全体でセキュリティ対策を強化していくことが、今、求められています。
サプライチェーンを狙った巧妙な攻撃
– サプライチェーンを狙った巧妙な攻撃近年、企業活動において取引先や関係機関との連携は不可欠となっており、多くの企業がそのネットワークを拡大しています。しかし、この強固な繋がりそのものを逆手に取った「サプライチェーン攻撃」が深刻化していることを忘れてはなりません。サプライチェーン攻撃とは、標的とする企業と直接的な関係がないように見える企業を足掛かりにし、最終的にはその企業のサプライチェーンを構成する主要な企業に侵入する攻撃です。これは、まるでドミノ倒しのように、一見関係のなさそうな企業のセキュリティの甘さを突いて侵入し、最終的に標的となる企業にまで攻撃の範囲を広げていく恐ろしいものです。セキュリティ対策を強固にしている大企業であっても、取引先企業のセキュリティ対策が脆弱であれば、そこを突破口として機密情報にアクセスされたり、システムに不正なプログラムを埋め込まれたりする可能性があります。取引先企業は、攻撃者にとって、標的企業のセキュリティを突破するための「弱点」になりうるのです。サプライチェーン攻撃から身を守るためには、自社のセキュリティ対策を強化するのはもちろんのこと、取引先企業にも適切なセキュリティ対策を講じているかを確認することが重要です。 取引先企業と協力し、サプライチェーン全体でセキュリティレベルを高めることで、攻撃のリスクを低減できると言えるでしょう。
| サプライチェーン攻撃とは | 特徴 | 対策 |
|---|---|---|
| 標的企業と直接関係がない企業を足掛かりに、サプライチェーンを構成する主要企業への侵入を目指す攻撃 | 一見無関係な企業の脆弱性を突いて、ドミノ倒しのように攻撃を広げる | 自社のセキュリティ強化に加え、取引先企業のセキュリティ対策状況の確認と連携が重要 |
二つの顔を持つサプライチェーン攻撃
– 二つの顔を持つサプライチェーン攻撃現代社会において、企業活動は複雑に絡み合ったサプライチェーンの上に成り立っています。このサプライチェーンの安全性を脅かすものが、「サプライチェーン攻撃」です。巧妙に仕組まれた罠には、大きく分けて二つの顔が存在します。一つ目は、製品開発・製造段階に潜む罠です。ソフトウェアやハードウェアを作る過程で、悪意のあるプログラムを埋め込む攻撃です。この攻撃は、あたかも毒を盛られた食べ物を口にするように、気付かぬうちに危険が拡散していくことが特徴です。セキュリティ対策の甘い企業が攻撃を受けると、そこから出荷される製品全てが危険にさらされます。そして、その製品を使う人々や企業も、大きな被害を受ける可能性があります。二つ目は、標的への侵入経路を作る罠です。これは、最終的な攻撃目標とする企業と取引関係にある企業を標的にする攻撃です。セキュリティ対策が手薄な企業を狙うことで、比較的簡単に侵入し、そこから段階的に最終目標へと近づいていきます。信頼関係を利用した巧妙な手口と言えるでしょう。これらの攻撃から身を守るためには、自社だけでなく、取引先企業のセキュリティ対策状況も把握することが重要です。サプライチェーン全体でセキュリティ意識を高め、強固な防御体制を築くことが、企業を守る上で重要です。
| サプライチェーン攻撃の種類 | 概要 | 特徴 |
|---|---|---|
| 製品開発・製造段階に潜む罠 | ソフトウェアやハードウェアを作る過程で、悪意のあるプログラムを埋め込む攻撃 | 気付かぬうちに危険が拡散していく。セキュリティ対策の甘い企業が攻撃を受けると、そこから出荷される製品全てが危険にさらされる。 |
| 標的への侵入経路を作る罠 | 最終的な攻撃目標とする企業と取引関係にある企業を標的にする攻撃 | 信頼関係を利用した巧妙な手口。セキュリティ対策が手薄な企業を狙うことで、比較的簡単に侵入し、そこから段階的に最終目標へと近づいていく。 |
身近に潜む脅威:事例で見るサプライチェーン攻撃
近年、企業の規模を問わず、サプライチェーンを悪用したサイバー攻撃が急増しており、大きな脅威となっています。 身近な例を挙げると、2017年に発覚したシステムクリーニングツール「CCleaner」への攻撃が挙げられます。 世界中の多くの利用者が信頼を寄せているソフトウェアが、密かに改ざんされ、不正なプログラムが埋め込まれていたのです。 この結果、多数の利用者の情報が危険にさらされ、ソフトウェアサプライチェーン攻撃の危険性が世界中に知れ渡ることになりました。
また、企業間取引を標的とした攻撃も後を絶ちません。取引先企業のシステムに侵入し、機密情報を盗み出すといった手口です。 企業は、顧客情報や技術情報など、重要な情報を多く抱えています。 攻撃者は、こうした情報を狙い、取引関係にある企業のシステムの脆弱性を突いてくるのです。 取引先企業のセキュリティ対策が万全でなかった場合、そこから自社のシステムにも侵入され、情報漏えいに繋がる危険性があります。このような攻撃は、企業の信頼を大きく損ない、経済的な損失だけでなく、企業活動の停止に追い込まれる可能性も秘めているのです。
| 攻撃の種類 | 概要 | 影響 | 対策 |
|---|---|---|---|
| ソフトウェアサプライチェーン攻撃 | 広く利用されているソフトウェアやサービスを開発・提供する過程に介入し、悪意のあるコードを埋め込む攻撃 |
|
|
| 企業間取引を標的とした攻撃 | 取引先企業のシステムに侵入し、機密情報を盗み出す攻撃 |
|
|
自社だけでなく、サプライチェーン全体を守る
昨今、悪意のある攻撃を仕掛けてくる側の技術はますます高度化しており、自社の防御体制を強化するだけでは限界があります。情報通信技術の進化に伴い、企業は顧客や取引先との関係が複雑化しており、取引に関わる多くの企業がそれぞれ保有する情報を狙う攻撃が増加しているためです。このような状況下では、自社を守るという従来型の対策だけでなく、取引のある企業全体でセキュリティレベルを高めていく必要があるという考え方が広まっています。
実際に、国の機関である情報処理推進機構も、企業が認識すべき原則の一つとして「サプライチェーンに対するセキュリティ対策の必要性」を明確に示しています。これは、サプライチェーンの一員である自社が攻撃を受けることで、その影響は取引関係にある他の企業にまで連鎖する可能性を意味しています。
そのため、取引先企業と協力し、情報共有やセキュリティ対策に関する連携を強化していくことが重要とされています。具体的には、取引先企業に対してセキュリティ対策基準を設けたり、定期的なセキュリティ監査の実施などを共同で行うことで、サプライチェーン全体としてのセキュリティレベル向上を目指します。このような取り組みを通じて、企業はより安全な事業活動の実現を目指していく必要があると言えるでしょう。
| 従来型のセキュリティ対策 | これからのセキュリティ対策 |
|---|---|
| 自社の防御体制強化のみ | 取引先を含むサプライチェーン全体でセキュリティレベルを高める |
| – | 取引先と協力し、情報共有やセキュリティ対策の連携を強化 – セキュリティ対策基準の設定 – 定期的なセキュリティ監査の実施 |
具体的な対策を講じ、脅威に備える
昨今、企業を狙ったサイバー攻撃は増加の一途を辿っており、その手口も巧妙化しています。ひとたび被害に遭えば、企業は甚大な損害を被るだけでなく、これまで築き上げてきた信頼をも失いかねません。このような脅威に備えるためには、具体的な対策を講じ、万が一の事態に備えることが重要となります。
まず、取引先企業との間で、情報セキュリティに関する契約を締結することが大切です。契約書には、機密情報の取り扱い方法や、インシデント発生時の対応などを明確に記載することで、リスクを低減することができます。また、自社のセキュリティ対策が適切であるか、専門機関によるセキュリティ監査を定期的に実施することも有効です。
さらに、従業員一人ひとりのセキュリティ意識を高めることも重要です。定期的な研修を通じて、サイバー攻撃の最新の手口や、パスワード管理の重要性、不審なメールの見分け方などを周知徹底する必要があります。
サプライチェーン全体で情報共有や協力体制を構築し、サイバー攻撃に対する回復力を高めていくことが、これからの時代における企業の重要な責務と言えるでしょう。
| 対策 | 詳細 |
|---|---|
| 取引先企業との契約締結 | – 機密情報の取り扱い方法、インシデント発生時の対応などを契約書に明記 – リスクを低減 |
| セキュリティ監査の実施 | – 専門機関による定期的な監査 – 自社のセキュリティ対策の妥当性を評価 |
| 従業員のセキュリティ意識向上 | – 定期的な研修 – サイバー攻撃の最新の手口、パスワード管理の重要性、不審なメールの見分け方などを周知徹底 |
| サプライチェーン全体での連携強化 | – 情報共有や協力体制の構築 – サイバー攻撃に対する回復力を強化 |