マイナビニュースマイナビ
【特別企画】

サプライチェーン攻撃のリスクを最小化する方法とは?

[2021/09/29 09:00] ブックマーク ブックマーク

ソフォスは2020年、調査レポート「ランサムウェアの現状 2020年版」のなかで、ランサムウェアの被害を受けた組織の実に10分の1が、サードパーティーのサプライヤーを介した「サプライチェーン攻撃」によるものだと報告した。自社のセキュリティを高く保つだけでは情報漏洩を防ぐことが叶わない――そんな時代が訪れている

サプライチェーン攻撃のリスクを最小限に抑える:ベストプラクティスのガイドライン

サプライチェーン攻撃を「大企業にとってのリスク」とする声もあるが、決してそうではない。同攻撃のなかには、数社のサプライチェーン網を有する企業を狙ったケースも報告されているからだ。

自社とサプライヤーを包括したセキュリティ強化にあたって、企業は何に取り組むべきか。先に登場したソフォスは、この問いに対する有効な示唆を与える資料「サプライチェーン攻撃のリスクを最小限に抑える:ベストプラクティスのガイドライン」を公開している。簡単にその内容を紹介したい。

ソフォス提供資料
サプライチェーン攻撃のリスクを最小限に抑える:
ベストプラクティスのガイドライン
> > 資料ダウンロードはこちら

自社ネットワークに接続するサプライヤーの数だけ侵入経路が増える

攻撃者はサプライチェーン攻撃にあたって、対象企業のシステムに直接侵入するのではなく、当該企業が信頼するサードパーティサプライヤーが保有する「システムへのアクセス権」を悪用して社内環境への侵入を試みる。

サプライチェーン攻撃の概要

防御側にとって悩ましいのは、サプライヤー1社のみが自社のネットワークに接続している場合でも、同攻撃のリスクは発生し得るということだ。たとえ小規模なサプライチェーン網であっても同リスクを考慮しなくてはならないし、自社ネットワークに接続するサプライヤーが多いほど、保護すべき対象が広がることとなる。

サプライチェーン攻撃を防ぐガイドラインとその実践方法

こうしたサプライチェーン攻撃を防ぐために行うべき事項として、ソフォスは資料のなかで、以下の5つをガイドライン化している。

[1] 事後対応型から事前対応型サイバーセキュリティへの移行
[2] 攻撃の兆候の監視
[3] サプライチェーンの監査
[4] サプライヤーおよびビジネスパートナーのセキュリティ状態の評価
[5] 自社の IT セキュリティ運用の予防策を常に確認


資料では各項目が意味することやそこでの留意点を細かく解説している。目を通していただければ、サプライチェーン攻撃に対策するために何をすべきかはわかるだろう。ただ、ITチームのリソースには限りがあり、多くの企業にとって、今ある仕組みでこれらすべてを行うのは困難といえる。

資料の後半では、サプライチェーン攻撃のリスクに対処するのに活用すべきテクノロジーやサービスについても解説している。サプライチェーン攻撃に対する防御は、本質的に複雑だ。しかし、だからといって対策を放棄していては、情報漏洩のリスクは高まるばかりである。資料を参照のうえ、同攻撃に対処する一歩を踏んでほしい。

ダウンロード資料のご案内

ソフォス提供資料
サプライチェーン攻撃のリスクを最小限に抑える:
ベストプラクティスのガイドライン
> > 資料ダウンロードはこちら

[PR]提供:ソフォス

この記事に興味を持ったら"いいね!"を Click
Facebook で TECH+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
Slackで始める新しいオフィス様式
Google Workspaceをビジネスで活用する
ニューノーマル時代のオウンドメディア戦略
ミッションステートメント
次世代YouTubeクリエイターの成長戦略
IoTでできることを見つけるための発想トレーニング
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
マイクロサービス時代に活きるフレームワーク Spring WebFlux入門
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る