ソフォスは2020年、調査レポート「ランサムウェアの現状 2020年版」のなかで、ランサムウェアの被害を受けた組織の実に10分の1が、サードパーティーのサプライヤーを介した「サプライチェーン攻撃」によるものだと報告した。自社のセキュリティを高く保つだけでは情報漏洩を防ぐことが叶わない――そんな時代が訪れている。
 |
サプライチェーン攻撃を「大企業にとってのリスク」とする声もあるが、決してそうではない。同攻撃のなかには、数社のサプライチェーン網を有する企業を狙ったケースも報告されているからだ。
自社とサプライヤーを包括したセキュリティ強化にあたって、企業は何に取り組むべきか。先に登場したソフォスは、この問いに対する有効な示唆を与える資料「サプライチェーン攻撃のリスクを最小限に抑える:ベストプラクティスのガイドライン」を公開している。簡単にその内容を紹介したい。
ソフォス提供資料
サプライチェーン攻撃のリスクを最小限に抑える:
ベストプラクティスのガイドライン
> > 資料ダウンロードはこちら
自社ネットワークに接続するサプライヤーの数だけ侵入経路が増える
攻撃者はサプライチェーン攻撃にあたって、対象企業のシステムに直接侵入するのではなく、当該企業が信頼するサードパーティサプライヤーが保有する「システムへのアクセス権」を悪用して社内環境への侵入を試みる。
 |
防御側にとって悩ましいのは、サプライヤー1社のみが自社のネットワークに接続している場合でも、同攻撃のリスクは発生し得るということだ。たとえ小規模なサプライチェーン網であっても同リスクを考慮しなくてはならないし、自社ネットワークに接続するサプライヤーが多いほど、保護すべき対象が広がることとなる。
サプライチェーン攻撃を防ぐガイドラインとその実践方法
こうしたサプライチェーン攻撃を防ぐために行うべき事項として、ソフォスは資料のなかで、以下の5つをガイドライン化している。
| [1] 事後対応型から事前対応型サイバーセキュリティへの移行 |
|---|
| [2] 攻撃の兆候の監視 |
| [3] サプライチェーンの監査 |
| [4] サプライヤーおよびビジネスパートナーのセキュリティ状態の評価 |
| [5] 自社の IT セキュリティ運用の予防策を常に確認 |
資料では各項目が意味することやそこでの留意点を細かく解説している。目を通していただければ、サプライチェーン攻撃に対策するために何をすべきかはわかるだろう。ただ、ITチームのリソースには限りがあり、多くの企業にとって、今ある仕組みでこれらすべてを行うのは困難といえる。
資料の後半では、サプライチェーン攻撃のリスクに対処するのに活用すべきテクノロジーやサービスについても解説している。サプライチェーン攻撃に対する防御は、本質的に複雑だ。しかし、だからといって対策を放棄していては、情報漏洩のリスクは高まるばかりである。資料を参照のうえ、同攻撃に対処する一歩を踏んでほしい。
ダウンロード資料のご案内
ソフォス提供資料
サプライチェーン攻撃のリスクを最小限に抑える:
ベストプラクティスのガイドライン
> > 資料ダウンロードはこちら
[PR]提供:ソフォス