サプライチェーン攻撃への具体的な対策が急務に

2020年の東京オリンピック・パラリンピック開催に向けて日本国内は盛り上がりを見せている一方で、深刻な懸念事項とされているのがサイバー攻撃である。オリンピック開催国・都市を狙った大規模なサイバー攻撃が、2012年のロンドンあたりから顕著になり始めているのだ。ロンドンの際は、DDoS攻撃を受けて開会式が停電寸前にまで至っている。そのあとはオリンピックごとに開催国・都市を狙ったサイバー攻撃による被害が生じているうえ、攻撃の規模も拡大し続けている。そして2020年の東京では、ロンドンでの開催と比べて実に何十倍ものサイバー攻撃を受けると予想されているのだ。

その際、特に事態を深刻化させている点として、サプライチェーン攻撃による脅威の増大が挙げられる。これは文字通り企業・組織間の供給連鎖であるサプライチェーンの過程を狙ったサイバー攻撃手法である。ターゲットとされた企業・組織が大規模かつセキュリティレベルが強固な場合に、そのターゲット企業とやり取りがある比較的セキュリティレベルが低い取引先やグループ関連会社、子会社などを経由して攻撃を行うもので、取引先担当者になりすまして標的型メールを送付するといった手法がよく取られる。

特に、グループ企業を持つ大企業においては、自社だけでなく、グループ子会社、孫会社などすべての関連会社に対してセキュリティ対策を実施し、その対策状況を定期的に監査する必要がある。経済産業省のコーポレート・ガバナンス・システム(GCS)研究会においても、子会社や関連会社を含む企業グループ全体として、委託先を含めたサプライチェーンセキュリティを考慮に入れたサイバーセキュリティの対策を推奨しており、その検討に当たっては、経済産業省とIPAが発行している「サイバーセキュリティ経営ガイドライン」を参照することが推奨されている。

IPAによる調査「情報セキュリティ10大脅威 2019(組織)」でも「サプライチェーンの弱点を悪用した攻撃の高まり」は4位にランキングしており、日本における注目度も急上昇しているところだ。

サプライチェーン攻撃には、ソフトウェアやその更新プログラム、ハードウェア開発段階の組み込みプログラムなどに対し、不正なプログラムを組み込む攻撃手法も含まれ、すでに海外では被害例が目立ってきているという。

ニュートン・コンサルティング株式会社 CISO/プリンシパルコンサルタント 内海 良氏

ニュートン・コンサルティング株式会社
CISO/プリンシパルコンサルタント
内海 良氏

ニュートン・コンサルティング株式会社 CISO/プリンシパルコンサルタント、内海 良氏はこう話す。「サプライチェーン攻撃に対策を施すことを『サプライチェーンセキュリティ』と呼びますが、ここに来てサプライチェーンセキュリティ対策の必要性は高まり続けています。これまでであれば企業間の取り引きの際にはNDA機密保持契約を結んでそれで終わっていました。しかしそれでは『やり取りされたデータは暗号化して安全なかたちで保存する』『データの二次利用はしない』など、サプライチェーンセキュリティ対策に求められる具体的な対応にまで踏み込んでいません。NIST(アメリカ国立標準研究所)のCSF(Cyber Security Framework)や経済産業省とIPAから発行されている「サイバーセキュリティ経営ガイドライン」においても、そこまでの対策を施すよう求めているのです」

事後対応にまで踏み込んだフレームワーク「CSF」

CSFは、NISTが2014年に初版“Ver1.0”を発行した、重要インフラのサイバーセキュリティを向上させるためのフレームワークである。ISMS(情報セキュリティマネジメントシステム)が世界標準のセキュリティ管理フレームワークとして普及しているなか、ここに来て海外ではISMSに代わってCSFを採用する企業が急増しているという。2018年4月に更新されたCSF Ver1.1では、「サプライチェーンのリスク管理」と「サイバーセキュリティーリスクの自己評価」に関する項目が追記され、その重要性が説かれている。

内海氏は言う。「CSFでは、サイバーセキュリティ対策として幅広く活用されることを考慮して汎用的な108項目を網羅しています。成果を達成するための対策と参考情報の一覧を『コア』と呼び、『特定』『防御』『検知』『対応』『復旧』という5つのフェーズが設けられているのが特徴です。『特定』『防御』は平時の対策で、『検知』『対応』『復旧』はサイバー攻撃による何らかの被害を受けたあとの対策に相当します。この事後対策の部分がISMSでは弱いこともあり、CSFは特に有効であると見ています。とはいえ国内ではCSFを採用する企業の割合は5%と低いため、サプライチェーンセキュリティ対策の機運の高まりを受けて、来年にかけて普及が加速することでしょう」

  • CSFの「フレームワークコア」

    CSFの「フレームワークコア」

CSFのそれぞれの項目は、汎用性を重視した内容であるため、ただ読んだだけでは具体的に何をすればよいのか理解しづらいところがある。そのため、各項目を満たすためには何が必要なのか、ISMSではどの箇所とリンクするのかなど、ほかのセキュリティガイドラインと合わせたりしながら具体的な対策レベルまで落とし込んで行く必要があるのだ。

“機密”ではなかった情報も守らねばならない理由

機密レベルが低く設定されてきた製品に使われる部品などの仕様書や、実験結果の情報など機密保護上の機密情報以外の重要情報の保護までも求めているのが、米国国防総省が同省と契約する業者に対して求められるセキュリティ対策基準である「NIST SP800171」だ。こちらはCSFをベースにし、より具体的な内容になっている。

  • NIST SP800171の位置付け

    NIST SP800171の位置付け

NIST SP800-171は、オーストラリアの軍データに含まれた米軍の兵器システムに関する詳細情報が末端の業者への攻撃から漏洩、しかも攻撃者の侵入に4ヵ月も気づかなかった事件などを受けて、機密情報(Classified Information, CI)だけでなく、機密情報以外の重要情報(Controlled Unclassified Information, CUI)に関するセキュリティ対策が盛り込まれている。

「複数の機密情報以外の重要(非格付け)情報でも組み合わせることで格付け情報になってしまうことから、機密情報以外の重要情報の保護までも含め、かつ具体的な対策方法まで踏み込んでいるのがNIST SP800-171のポイントです。日本においても、2019年4月から防衛省および防衛装備庁において、NIST SP800-171と同程度の新防衛調達基準の試行導入をスタートしています。今後は国内でも防衛産業だけでなく、重要インフラ産業やそのほかの産業への浸透が予想されています。CFSと合わせてぜひ概要に目を通しておくことをおすすめします」と内海氏はアドバイスする。

「契約書別添セキュリティチェックシート」もDL可能!

ゾーホージャパンが提供するネットワークやITサービス、セキュリティ、デスクトップ・ノートPC、ビジネスアプリケーションなどのIT運用管理製品・サービス群である「ManageEngine」は、低コスト、かんたん、多言語への対応などの特長により、グループ企業における標準品採用などの実績も多く、サプライチェーンのセキュリティ対策に大いに活用することができる。

またWebサイト上では、各種課題解決の情報も提供しており、そのなかでサプライチェーン攻撃とサプライチェーンセキュリティ対策に関する情報発信も行っている。そこでは、内海氏らニュートン・コンサルティングの協力により作成した「サプライチェーンセキュリティ対策用業務委託契約書」「契約書別添セキュリティチェックシート」がダウンロードできるようになっている。

ゾーホージャパン株式会社 ManageEngine事業部 マーケティング部 部長 ManageEngine ソリューションエバンジェリスト 曽根 禎行氏

ゾーホージャパン株式会社
ManageEngine事業部
マーケティング部 部長 ManageEngine
ソリューションエバンジェリスト
曽根 禎行氏

ゾーホージャパン株式会社 ManageEngine事業部 マーケティング部 部長 ManageEngineソリューションエバンジェリスト、曽根 禎行氏は「NIST SP800-171を実践する際に押さえておくべきヒントなど、サプライチェーンセキュリティ対策を進めるに当たって必要なさまざまな情報も用意していますので、ぜひ一度サイトをご覧になってみてください」と呼びかけている。

2020年に向けてサイバー攻撃のリスクが高まるなか、もしも自社が攻撃を受けて取引先の情報まで窃取されてしまったとしたら、漏洩した情報はもちろんのこと、失った信用は取り返しがつかないことになるだろう。まずはサプライチェーンセキュリティ対策を本格的に実践できるよう踏み出していただきたい。

  • alt

コストと運用工数の削減を実現するソフトウェア「ManageEngine」

>>詳しい情報はこちら

[PR]提供:ゾーホージャパン