パロアルトネットワークスは8月3日、国内の民間企業、官公庁・自治体などのセキュリティ意思決定者709名を対象に調査を実施し、詳細データに基づく分析結果を「サプライチェーンリスクジャパンレポート2022」として公開した。

説明会では、 チーフサイバーセキュリティストラテジストの染谷征良氏が、同レポートのポイントを紹介するとともに、サプライチェーン攻撃の防御策を紹介した。

  • パロアルトネットワークス チーフサイバーセキュリティストラテジスト 染谷征良氏

セキュリティにおけるサプライチェーンリスクとは?

最近、サイバーセキュリティの分野で、サプライチェーンという言葉を聞く機会が増えているが、そもそも「サプライチェーン」とは何か。

染谷氏は、サプライチェーンにはさまざまな定義があるとして、経済産業省による「サプライチェーン」の定義、米国CISAによる「ICTサプライチェーン」の定義、IPAによる「ソフトウェアサプライチェーン」の定義を紹介した。

  • さまざまなサプライチェーンの定義

では、セキュリティの世界のサプライチェーンのリスクとは、どんなものか。こちらに関しても、米国のNISTや英国のNCSCが定義を打ち出している。染谷氏は、「セキュリティのサプライチェーンのリスクは、自組織のITインフラに関係するエンティティ 事業継続・運営のエンティティと多岐にわたっている」と述べた上で、サプライチェーンのセキュリティリスクとは、部品や製品、サービスの供給元や組織の利害関係者の過失や故意により発生しうるさまざまなセキュリティ上のリスク」と説明した。

  • セキュリティにおけるサプライチェーンリスクとは?

製造業や重要インフラのインシデント発生率が高い

セキュリティのサプライチェーンリスクを明らかにしたところで、「サプライチェーンリスクジャパンレポート2022」のハイライトを紹介していこう。

まず、サプライチェーンに起因したセキュリティインシデントの発生状況だが、回答者の63%がサプライチェーンセキュリティインシデントを経験していることがわかった。

特に、水道・ガス・電力をはじめとする重要インフラや製造業でのインシデント発生率が高く、コロナ禍で加速したデジタル化やリモートワークといったビジネスニーズの変化、自由化による産業構造の変化などを背景に、サプライチェーンリスクが増大していることが考えられるという。

染谷氏によると、サプライチェーンリスクの発生源は9つに分類できるという。最も多い発生源は取引先で、これに業務委託先(IT業務、非IT業務)、ソフトウェア/ハードウェアベンダーが続く。いずれも社外の組織となるが、染谷氏は「人材不足、外部への業務委託が多いといった日本の産業構造を反映した結果といえる」と指摘した。

  • サプライチェーンに起因したセキュリティインシデントの発生源

また、セキュリティインシデントによる被害は、個人情報の漏洩が最も多く、これに、機密情報の漏洩、システム障害、データ障害が続いている。

  • サプライチェーンに起因したセキュリティインシデントによる被害

サプライチェーンリスクにどう対峙すべきか?

サプライチェーンリスク対策における課題としては、「すべてのサプライチェーンの把握が困難」「取引先に対策を強制できない」「すべてのIT資産恩把握が困難」「国内外の法規制やガイドライン」「明確な自組織の指針の欠如」が挙がっている。

こうした状況から、染谷氏は、デジタル化によってサプライチェーンが複雑になる中で、「可視性と強制力の欠如」がセキュリティ対策の実効性を妨げていると指摘した。

一方調査では、業種を問わず全体の81%がサプライチェーンリスクが近年深刻になったと認識しており、2021年度には86%が対策を実施していることがわかった。

ただし、実施されたセキュリティ対策は「サプライチェーン向け注意喚起の実施(41%)」「自組織の従業員向けの注意喚起の実施(41%)」「サプライチェーン向けセキュリティガイドラインの整備・見直し(29%)」と、机上での施策が上位を占めている。

こうした状況について、染谷氏は「すぐに取り組める施策の実施率は高いが、可視性や実行性を高める具体策は進んでいない」との見解を示した。

最後に、染谷氏はパロアルトネットワークスが推奨するサプライチェーンリスクに対する対策として、「ゼロトラストに基づく可視化、監視、制御」「業務取引先や取引先の実行性ある監査」「製品・サービス供給元の取り組みの確認」「製品・サービスの情報収集とバージョン管理」「レスポンス体制の構築と運用」を紹介した。