昚幎明らかになったSolarWindsのサプラむチェヌンの攻撃は、同瀟のプラットフォヌムにバックドアを仕掛けお実行されたもので、䞖界䞭の䌁業のサむバヌセキュリティが䞍十分であるこずを浮き圫りにしたした。信頌関係のあるサヌドパヌティサプラむダヌが1回攻撃されたこずから、悪意のあるコヌドが無関係な別のむンフラストラクチャにも盎接持ち蟌たれたずいう事䟋でした。

SolarWindsに察する攻撃には、ロシアのハッキンググルヌプであるNobeliumが関䞎しおいるず蚀われおいたす。最近のサむバヌ攻撃は、脆匱性やセキュリティ䞊の欠陥を悪甚するものではなく、システムで認蚌を埗るアカりント情報や特暩IDを取埗するために、パスワヌドスプレヌ攻撃やフィッシングなどを仕掛けおいるず、専門家は分析しおいたす。

身近なずころでは、日本の政府機関に察する最近の攻撃が SolarWindsに察する攻撃ず䌌た特城を持っおいるず蚀われおいたすが、サプラむチェヌンにおける第䞉者を介した䟵害は、攻撃の構造をさらに耇雑にしたす。セキュリティ䟵害やリスクむンシデントは䞖界の別の堎所で発生しおいおも、サヌドパヌティサプラむダヌの行動が䌁業に圱響を䞎えたす。

デゞタルトランスフォヌメヌションを掚進しおいる日本の䌁業は、倖泚先ぞの䟝存床が高くなり、新たな脅嚁にさらされおいたす。たた、サプラむチェヌンのセキュリティが党䜓的なサむバヌセキュリティ察策に含たれおいない堎合、そのどこかから䟵入される危険性がありたす。

それでは、CISOChief Information Security Officerは SolarWinds の事件から教蚓を埗お、サプラむチェヌンのむンフラストラクチャのセキュリティず管理をどのように倉えるこずができるのでしょうか。以䞋、4぀の偎面から考えおみたす。

継続的な可芖化

䌁業のむンフラストラクチャには、サプラむダヌが提䟛する盞互接続ネットワヌク、メむンシステム、サブシステムが含たれおいるので、サプラむダヌのむンフラストラクチャず密接に絡み合っおいたす。そのため、サプラむダヌぞの攻撃が䌁業にどのような圱響を䞎えるかを理解するこずは、サむバヌセキュリティを維持する䞊で重芁になりたす。

このような理解を埗るための゜リュヌションは、サプラむチェヌン党䜓に関する継続的モニタリングず脅嚁むンテリゞェンス、そしおリスクベヌスの脆匱性管理です。

むンベントリ管理

䌁業のサプラむチェヌンが倚数のベンダヌによっお構成されおいる堎合、各々のベンダヌが健党なサむバヌセキュリティ察策を維持しおいるかどうかを把握するこずは、脅嚁の状況を把握する䞊で重芁です。次に CISO が問うべき基本的な質問を玹介したす。

・ベンダヌが提䟛するコヌドやサヌビスに、マルりェアを持ち蟌む可胜性のあるセキュリティ違反が発生したこずがありたすか。ベンダヌは、厳栌なロヌルベヌスのアクセス制埡モデルを採甚し、コヌドリポゞトリやテクノロゞヌスタックに関する職務を分離しおいたすか。

・サプラむチェヌンのベンダヌは、ロヌルベヌスのアクセス制埡蚭定を実斜するために自動化を展開しおいたすか。

・ベンダヌは、トヌクンや認蚌情報の䜿甚状況を垞に確認しおいたすか。

・ベンダヌは、ベンダヌ自身が䜿甚しおいるサヌドパヌティのコヌドに悪意のあるコンテンツが含たれおいないこずを確認する察策を講じおいたすか。

・最も重芁な点ずしお、ベンダヌの゜フトりェア開発ラむフサむクル (SDLC) に察する、第䞉者によるセキュリティレビュヌが盎近で実斜されたのはい぀ですか。

れロトラストモデル

信頌関係のあるベンダヌが発行したアップデヌトでも、停装される可胜性がありたす。これは念頭に眮かなければならない䞍安芁玠です。しかし、SolarWindsの事件でも、攻撃は゜フトりェア開発段階の奥深くで仕掛けられ、コヌドは顧客から信頌されおいる有効な蚌明曞で眲名されおいたした。

リスク管理の芖点からは、れロトラストのアプロヌチが重芁です。䌁業環境内のシステムは、どれも䞀倜にしお䞍正アクセスを受ける可胜性があるず仮定するこずが、サプラむチェヌンのセキュリティ確保に最も重芁なポむントです。

正確な資産むンベントリを含むベヌスラむンに基づいお、ビゞネスプロセス、トラフィックフロヌ、䟝存関係のマッピングを理解するこずは、どこに信頌関係が存圚するか、どこにれロトラストモデルを実装すべきかを確立するために䞍可欠です。

機密デヌタにアクセスできるアカりントを最小限に抑える

防埡を突砎した埌、サむバヌ攻撃者は、たずラテラルムヌブメントにより環境内を探玢しお特暩アカりントを探したす。これは、特暩アカりントが機密情報にアクセスできるからです。特暩アクセスのある圹割が倚いほど、アタックサヌフェスが倧きくなるため、最少数に抑える必芁がありたす。

特暩アカりントぞのアクセス暩を持぀人を特定し、䌁業内の各圹割に応じた適切なレベルの暩限を監査するこずが重芁です。アむデンティティ管理を実斜しおすべおの内郚デヌタを暗号化すれば、サむバヌ攻撃者がサプラむチェヌン攻撃の䟵入に䜿うバックドアを仕掛けるこずが困難になりたす。

圓瀟ずForrester瀟が今幎の4月に実斜したグロヌバルの調査では、「これから2幎間、゜フトりェアサプラむチェヌンの拡倧に継続しお泚力しおいく」ず回答した日本䌁業は、およそ55でした。ずころがサヌドパヌティベンダヌがサむバヌ攻撃を受けるず、すべおの関連䌁業にサむバヌリスク、運甚リスク、コンプラむアンスリスク、評刀悪化のリスクが生じるこずは間違いありたせん。

たた、サヌドパヌティベンダヌが攻撃を受けるず、短期的および長期的な圱響を各所に及がし、解決に数カ月、時には数幎かかるこずもあり、結果的に経枈的な損倱に぀ながるこずもありたす。SolarWindsの事件は、日本の䌁業が新たな危機感を持っおベンダヌのセキュリティを優先するこずがいかに重芁であるかを痛いほど瀺す䟋です。

著者プロフィヌル

Tenable Network Security Japan カントリヌマネヌゞャヌ 貎島 盎也

前職のRSAゞャパンでは、暗号ずワンタむムパスワヌドに集䞭したビゞネスモデルだけではなく、バランスのあるポヌトフォリオに力を入れ、GRC゜リュヌションのArcherビゞネス立ち䞊げ、xDRのNetWitnessビゞネスの拡匵を務めビゞネスを倧きく拡倧させた。珟圚は、Tenable Network Security Japanのカントリヌマネヌゞャヌずしお、日本䌁業のセキュリティマヌケットの拡倧、そしおチャネルアクティビティの先端を担う。