気付くのが遅れると大規模感染につながるサプライチェーン攻撃とは(2)

前回は、「サプライチェーン攻撃」の特徴や仕組みについて説明しました。サプライチェーン攻撃には、関連会社・取引会社間のサプライチェーンの経路を攻撃する攻撃とIT機器やソフトウェにマルウェアを忍ばせて、悪意のあるソフトウェアを流通させたりする「流通」という意味の攻撃の2種類があります。

サプライチェーン攻撃において特に注意する点としては、「発生と発覚のタイムラグが生じること」「企業と企業の間をつなぐ『線』の部分の防御体制が弱くなること」を挙げました。

今回は、サプライチェーン攻撃を防御するための対策を紹介していきます。

感染者と非感染者、できることが多いのはどちら?

企業と企業の間をつなぐ線を守るには日常的な取り組みが必要です。突然ですが、インフルエンザを予防するために何かされていますか? インフルエンザ対策としては、以下のようなものがあります。

• うがい、手洗いの励行
• マスク着用
• 予防接種
• 十分な睡眠、適度な運動

しかし、いざ感染してしまうと、治療を受け療養するしかありません。このように、「感染者」よりも「非感染者」のほうが予防のために通常状態で実施しなければならない事項は多いはずなのです。

サプライチェーンにおいても同じことが言えます。重要なセキュリティインシデントが発生していない時だからこそ、自己チェックと改善を継続的に実施しなければならないのです。

• 

  「感染者」よりも「非感染者」のほうが通常状態で実施すべき事項が多い

「サプライチェーンITセキュリティ会議」を開こう

しかし、1つの会社・組織だけで情報収集や対策検討をしていくのは非効率で効果が限定的です。そこで、サプライチェーンのITセキュリティ関係者全員で会議を定期的に開き、以下のようなことを行うとよいでしょう。

• セキュリティ・インシデントに関する情報共有と意見交換
• 重大インシデントを想定した複数パターンでの対応訓練

どの企業にも経営者会議があり、経営状況を定期的にチェックし、問題があれば原因を分析して改善しますよね? 経営者会議があるのであれば、サプライチェーンのITセキュリティ担当者会議も実施するべきなのです。

押さえておきたい注目キーワード「レジリエンシー」とは?

さて最近、「レジリエンシー」という言葉が注目されつつあります。 「レジエンシー」とは「回復力・復元力」という意味で、元々ビジネスが停滞期に陥った時にマイナスをプラスに「回復・復元させる力」を指す経営用語です。

ITセキュリティの世界では、この「レジリエンシー」が「防御力」と並んで重視されつつあります。どんなビジネスにも好調期と停滞があるのと同様に、どんなに対策を施していてもセキュリティ・インシデントが発生する時、それが発覚しない時があります。

サプライチェーンITセキュリティ会議では、上述の「防御力」の強化に加えて、「発生と発覚のタイムラグ短縮」「レジリエンシー(回復力・復元力)強化の仕組みづくり」についても継続的に協議するべきでしょう。

サプライチェーンのセキュリティレベルの「標準」を引き上げ続ける

この協議において、最も「防御力」と「レジリエンシー」が弱い企業のセキュリティレベルをサプライチェーン内の「標準」と定めます。この「標準」を引き上げ続けられるよう、サプライチェーン内で進捗状況を共有するのです。

継続的に「標準」を引き上げ続けなければならない理由は、リフレクション(最も弱い企業を足掛かりにしてターゲット企業を集中攻撃)やペイロード(サンドボックスをすり抜ける)といった新たな脅威が毎日のように生み出されており、サプライチーン全体でセキュリティレベルのアップを図らなければ意味がないからです。

一般的なサイバー攻撃対策は、ファイアウォール、エンドポイント・セキュリティ、監視ツールを導入することですが、それでも「完璧」ということはあり得ません。重大インシデントの発生確率を下げ続けるための取り組みは継続することが大事です。

継続してさらに品質を高めるために、サプライチェーン内でCSIRT(Computer Security Incident Response Team)のような、情報連携・共有チームを構築するのもよいかもしれません。

取得した情報は関係企業の経営者層に共有するだけでなく、外部にも積極的に公開しましょう。これにより「標準」を満たさない企業が新たなパートナーに加わることを抑制すると同時に、「標準」を満たす企業だけを新たなパートナーとして迎えることができます。

また、攻撃側からは攻撃しにくいサプライチェーンであると認識されるので「安価だから」ではなく「安全だから」選ばれるサプライチェーンになることができるのです。

米国政府機関では既にNIST(米国国立標準技術研究所)800-171や53といった厳しいセキュリティ基準に準拠するよう企業に対して求めています。日本政府もこれにならい、企業に対して基準の厳格化を徐々に求めていくことが予想されます。したがって、サプライチェーンのセキュリティレベルを引き上げる取り組みは実施しておいてまったく無駄になりません。

繰り返しになりますが、これまで話してきたことは重大インシデントが発生していない今だからこそ実施できる事項です。ぜひ、すぐにでも動き始めてください。

• 

  「安全だから選ばれる」サプライチェーン

著者プロフィール

橋川ミチノリ

幼少よりコンピュータ関連の仕事に憧れ、ディーアイエスソリューション株式会社に入社。
営業職として最新のＩＴソリューションの提案・販売活動に10年間従事した後、マーケティング職に転向。高度化・複雑化が進むIT業界のトレンドや最新技術を分かりやすく解説し、啓蒙を図るミッションに取り組んでいる。
生まれ： 広島県、好きな言葉：やっぱりカープがNo.1!、趣味：ホルン 。