企業セキュリティの盲点?MSPを狙った攻撃の脅威
セキュリティを知りたい
先生、「MSP」って最近よく聞くけど、セキュリティを高めるためにどんなことを知っておくべき?
セキュリティ研究家
いい質問だね!「MSP」は、企業の代わりにシステムやネットワークの管理などをやってくれる会社のことだ。セキュリティを高めるには、MSP自身がしっかりした対策をしているかを知る必要があるよ。
セキュリティを知りたい
なるほど。MSPがしっかりしてないと、逆に危ないってこと?
セキュリティ研究家
その通り!例えば、過去にはMSPが攻撃を受けて、そのMSPを利用していたたくさんの会社が被害を受けた事件もあったんだ。だから、MSPを選ぶときは、セキュリティ対策がしっかりしているか、信頼できる会社なのか、よく調べる必要があるね。
MSPとは。
安全をもっと強くするための言葉、『MSP』について説明します。『MSP』とは、『マネージドサービスプロバイダー』の略で、システムやネットワーク、セキュリティを守るための作業を、お客様から頼まれて代わりに請け負う事業者のことです。悪者が、つながりのある複数の会社を順番に狙って攻撃を仕掛けてくる場合、この『MSP』を狙うことで、最終的な目的の会社に被害を与えることがあります。例えば、2021年に、コンピューターを管理するための製品を作っている会社『Kaseya』が悪意のあるソフトウェアの被害にあった時、『Kaseya』の製品を使っていた多くの『MSP』がシステムのトラブルに見舞われました。そして、その『MSP』と契約していた1500以上の会社にも被害が広がったのです。
外部委託の増加と新たなリスク
– 外部委託の増加と新たなリスク今日のビジネス界では、業務の効率化や費用の圧縮のために、情報システムの運用や管理を外部の専門業者に委託する事例が増えています。こうしたサービスを提供するのがMSPと呼ばれる事業者です。MSPは、委託元の企業に代わってシステムの監視、保守、セキュリティ対策などを一手に引き受けることで、企業の負担を大幅に軽減する役割を担っています。しかし、その一方で、MSPの利用が新たなセキュリティ上の危険性を招く可能性も懸念されています。 MSPは、顧客企業のシステムに深く関与できる立場にあるため、万が一MSPがサイバー攻撃の標的になった場合、その影響は顧客企業にまで及んでしまう恐れがあるのです。例えば、MSPが不正アクセスを受けると、顧客企業の機密情報が盗み出されたり、システムが改ざんされたりする危険性があります。また、MSPのシステムに障害が発生した場合、顧客企業の業務が停止に追い込まれる可能性も考えられます。このようなリスクを低減するためには、MSPを選ぶ際には、セキュリティ対策の実績や体制を十分に確認することが重要です。 具体的には、ISMS(情報セキュリティマネジメントシステム)などの国際的なセキュリティ規格の認証を取得しているか、セキュリティに関する専門知識を持った担当者がいるかなどを確認する必要があります。また、契約を結ぶ際には、セキュリティに関する責任分担や事故発生時の対応などを明確に定めておくことが大切です。
メリット | リスク | 対策 |
---|---|---|
業務の効率化、費用の圧縮 | サイバー攻撃による情報漏洩、システム改ざん、業務停止 |
|
サプライチェーン攻撃の脅威
近年、企業を狙うサイバー攻撃の手口が巧妙化しており、その中でも「サプライチェーン攻撃」と呼ばれるものが増えています。これは、企業が利用する製品やサービスを提供する取引先を標的にし、その取引先を経由して最終的に目的の企業に攻撃を仕掛けるというものです。
特に、多くの企業にITサービスを提供するITサービスプロバイダは、サプライチェーン攻撃の格好の標的となりうる存在と言えます。もしITサービスプロバイダのセキュリティ対策が不十分であれば、攻撃者はそのシステムを足がかりとして、顧客企業のネットワークに侵入し、機密情報などを盗み出す可能性があります。
2021年に発生したケースでは、IT管理製品を提供する企業がランサムウェア攻撃を受けました。この攻撃により、その企業の製品を利用していた多数のITサービスプロバイダがシステム障害に見舞われました。その結果、ITサービスプロバイダと契約していた1500社以上の顧客企業が被害を受け、世界規模で大きな混乱が生じました。この事例は、サプライチェーン攻撃の脅威を如実に示すものと言えるでしょう。
攻撃手法 | 概要 | 影響 |
---|---|---|
サプライチェーン攻撃 | 企業が利用する製品・サービスの提供元を攻撃し、その繋がりを悪用して最終的な標的企業を攻撃する。 |
|
企業が取るべき対策とは
– 企業が取るべき対策とは
近年、取引先企業のシステムを経由して攻撃を仕掛けるサプライチェーン攻撃が増加しており、多くの企業が被害にあっています。外部に業務を委託している企業では、委託先企業のセキュリティ対策が自社のセキュリティレベルに影響を与えるため、委託先企業のセキュリティ対策状況を把握しておくことが重要です。
業務を委託する際には、委託先企業とセキュリティ対策に関する項目をしっかりと契約内容に盛り込む必要があります。具体的には、委託先企業が実施しているセキュリティ対策の内容、顧客企業から預かったデータの保護方法、そして、万が一、セキュリティ事故が発生した場合の対応体制などを事前に確認しておくことが重要です。
また、セキュリティ対策を委託先企業だけに任せるのではなく、自社でもセキュリティ対策を強化することが重要です。パスワードの使い回しをやめ、複数の認証要素を組み合わせる多要素認証を導入することで、不正アクセスを防止できます。さらに、セキュリティソフトを常に最新の状態に保つことも大切です。
このような基本的なセキュリティ対策を徹底することで、企業はサプライチェーン攻撃のリスクを軽減し、自社の重要な情報資産を守ることができます。
対策 | 詳細 |
---|---|
委託先企業のセキュリティ対策状況の把握 | 委託先企業のセキュリティ対策の内容、顧客企業から預かったデータの保護方法、セキュリティ事故発生時の対応体制などを事前に確認する。 |
自社でのセキュリティ対策強化 | パスワードの使い回しをやめ、多要素認証を導入する。セキュリティソフトを常に最新の状態に保つ。 |
MSPを選ぶ際の注意点
– MSPを選ぶ際の注意点近年、企業活動において情報システムの重要性が高まっており、その運用や管理を外部の専門業者に委託するケースが増えています。このような情報システムの運用管理を代行する事業者をMSP(Managed Service Provider)と呼びますが、重要な情報を預けるパートナーとして、セキュリティ対策に積極的に取り組んでいる事業者を選ぶことが非常に重要です。具体的には、国際的に認められたセキュリティの基準を満たしているかどうかの証明である、ISO27001やSOC2といった認証を取得しているMSPを選ぶと良いでしょう。これらの認証を取得している事業者は、情報セキュリティマネジメントシステムを適切に構築し、運用していることが第三者機関によって認められているため、安心して任せることができます。また、セキュリティに関する情報公開を積極的に行っているMSPを選ぶことも重要です。具体的には、自社のウェブサイトなどで、セキュリティ対策への取り組み状況や、万が一、情報漏えいなどのインシデントが発生した場合の対応について、わかりやすく説明している事業者は、信頼できるパートナーと言えるでしょう。さらに、契約を結ぶ前に、サービスレベル契約(SLA)の内容をしっかりと確認することも重要です。SLAには、サービスの可用性やパフォーマンス、セキュリティに関する責任範囲などが明確に定められているため、契約内容を事前に確認しておくことで、後々のトラブルを避けることができます。MSP選びは、企業の情報の安全を守る上で非常に重要な決断です。信頼できるパートナーを見つけるために、上記のような点に注意して、慎重に検討しましょう。
MSP選定のポイント | 詳細 |
---|---|
セキュリティ基準認証の取得 | ISO27001やSOC2といった国際的なセキュリティ基準認証を取得しているMSPを選ぶことが重要です。認証は、適切な情報セキュリティマネジメントシステムを構築・運用していることを第三者機関が認めたことを示します。 |
セキュリティ情報公開の積極性 | セキュリティ対策への取り組み状況や、情報漏えい発生時の対応をウェブサイト等で公開しているMSPは、信頼性の指標となります。 |
サービスレベル契約(SLA)の確認 | サービスの可用性、パフォーマンス、セキュリティに関する責任範囲等を定めたSLAの内容を契約前に確認することで、トラブルを回避できます。 |
信頼できるパートナーシップ構築を
– 信頼できるパートナーシップ構築を近年、企業活動においてITシステムの重要性が高まっており、多くの企業がその運用を外部の専門業者であるMSP(マネージドサービスプロバイダ)に委託しています。MSPの活用は、企業にとってコスト削減や業務効率化など多くのメリットをもたらしますが、同時にセキュリティリスクも孕んでいることを忘れてはなりません。MSPは顧客企業の機密情報や重要システムにアクセスするため、セキュリティ対策が不十分であれば、サプライチェーン攻撃の標的となる可能性があります。企業は、MSPとの間に強固な信頼関係を築き、共にセキュリティ対策に取り組むことが重要です。そのためには、日頃からMSPと積極的にコミュニケーションを取り、セキュリティに関する情報共有や意見交換を行うことが大切です。具体的には、MSPのセキュリティ体制や incident response plan (インシデント対応計画)について定期的に確認する、自社のセキュリティポリシーやルールをMSPに周知する、などが挙げられます。また、定期的にセキュリティ対策の状況を評価し、必要に応じて改善策を検討することも重要です。MSPの選定においても、セキュリティ対策を重視する必要があります。適切なセキュリティ基準を満たしているMSPを選定し、契約内容にセキュリティに関する項目を明確に盛り込むことが重要です。MSPと協力して強固なセキュリティ体制を構築することで、サプライチェーン攻撃の脅威から企業を守り、安全なビジネス環境を実現していくことができるでしょう。
MSP活用のメリット | MSP活用におけるセキュリティリスク | MSPと連携したセキュリティ対策 |
---|---|---|
コスト削減 業務効率化 |
サプライチェーン攻撃の標的となる可能性 | 強固な信頼関係の構築 セキュリティに関する情報共有や意見交換 MSPのセキュリティ体制・インシデント対応計画の確認 自社のセキュリティポリシー・ルールのMSPへの周知 セキュリティ対策の定期的な評価と改善策の検討 |
– | 機密情報や重要システムへのアクセス | セキュリティ基準を満たしたMSPの選定 契約内容へのセキュリティ項目の明記 |