サプライチェーン攻撃対策として「資産の可視化」が有効な理由とは？

サプライチェーン攻撃が注目を集める理由

サイバーセキュリティのニュースはIT業界に限らず、社会的にも注目されており、最近では、国や重要なインフラなどへの重大なサイバー攻撃に備え法整備も進んでいます。

IPAが2022年に発生した社会的に大きな影響を与えたと考えられる情報セキュリティの事案から選出された「情報セキュリティ10大脅威2023」では、サプライチェーンの弱点を悪用した攻撃が、標的型攻撃による機密情報の窃取を抜き第2位になっています。

サプライチェーン攻撃とは、セキュリティ対策が手薄な関連企業を踏み台として、標的とする企業への不正アクセスを狙ったサイバー攻撃です。ソフトウェア開発のライフサイクルに関与するモノや人のつながりを足掛かりとするソフトウェアサプライチェーン攻撃や、取引先や業務を委託している外部組織から情報漏えいなどもその一部です。　

今回、この脅威がより注目を浴びた理由の一つが、2022年に発生した小島プレス工業のインシデントです。同社を経由した攻撃は、トヨタの国内全工場がストップしたことからビジネスへの影響が大きく、サプライチェーン攻撃のダメージを知らしめる事例となりました。この事例以外にも、情報漏洩が発覚するなど多数の事例が確認されています。

組織は長い間サイバー脅威に悩まされてきましたが、その勢いは衰える気配はなく、むしろ加速傾向にあります。Armisが独自に行った調査によると、組織の3分の2以上（68％）が、2023年の最初の3カ月間（1月～3月）に、2022年の最後の3カ月間（10月～12月）と比較して、より多くの脅威活動を経験したと回答しています。Armis Asset Intelligence Engineによる脅威の試行データは、この期間中に世界的な脅威イベントが93％増加したことを明らかにしています。

サプライチェーン攻撃もまた、ハッカーが企業ネットワークへのアクセスを試みる手段の一つです。強固なセキュリティを施している企業に直接アクセスするのではなく、外部委託先企業の脆弱性を発見することで、サプライチェーンのさらに下流にあるサードパーティープロバイダーの脆弱性を悪用します。もはや、自社のネットワーク環境だけを守るだけでは、サイバー脅威からビジネスを守ることは難しくなってきているのです。

組織のテクノロジーへの依存と共に増える脅威とは

組織のテクノロジーへの依存は、攻撃対象の規模と複雑さを増大させています。組織の攻撃対象領域とは、攻撃者によって悪用され、組織のネットワークに侵入するために使用される可能性のあるすべてのシステム、デバイス、または資産の合計です。これは、組織が所有・管理する資産だけを対象とするものに加え、働く人が個人的に所有する資産も含まれます。

ITおよびITセキュリティの意思決定者を対象とした調査では、平均して1日に55,686台の資産が組織のネットワークに接続されていると報告されています。これには、IP・セキュリティ・カメラ、物理セキュリティ・システム、ビル管理システムなどの資産やプリンタ、ノートPC、携帯電話などの資産が含まれます。

Armis Asset Intelligence Engineのデータによると、過去3年間に企業ネットワークに接続された資産の年間増加率が20％から50％に達していることが明らかになりました。この成長率は年々加速しており、今日のビジネス環境におけるデジタル接続の拡大を反映しています。攻撃対象が増え続ければ、攻撃者が脆弱性を見つけて悪用する機会も増えるのです。

このため、攻撃対象全体を明確に把握することが、組織にとって極めて重要になります。どのような資産やシステムがネットワークに接続されているのか、それらの資産に対処すべき脆弱性が含まれているのか、どのような順序で対処すべきかを明確にする必要があります。

これが、企業がネットワークを侵害から効果的に保護する唯一の方法です。しかし、多くの組織はその最初のステップ「攻撃対象の全貌を把握する」ことに苦労しているのです。

攻撃対象領域を把握する

現在ネットワークに接続されている組織の所有・管理資産を完全に管理・コントロールできていると主張する組織は、半数（50％）に過ぎません。従業員所有の資産に限ると、これは3分の1強（37％）に減少します。

半数の組織が「自社で所有・管理している資産の完全な可視化を行っていない(49％)」もしくは「管理・統制を行っていない(50％)」、つまり残りの半分は、企業ネットワーク上で可視化もコントロールもできないということになります。従業員所有の資産の場合、その可視性、管理、統制はさらに劣るのです。

過剰な脅威インテリジェンスデータ

脅威インテリジェンスに関連するデータを収集するために、組織は平均して9つの異なるソースを使用していることが調査により分かりました。しかし、調査対象となった組織の45％は、10個以上を使用していると報告しています。ほぼ3割が、自社のサイバーセキュリティチームはサイバー脅威情報に圧倒されていると報告していることから、これらの脅威フィードの有用性は疑問視されます。

脅威インテリジェンスに関連するプロセスのうち、自動化されているのは平均して52％から57％に過ぎず、インテリジェンス・フィードを活用するために必要な作業の多くが手作業で行われていることが、このような負担感に拍車をかけています。そのためか、脅威インテリジェンス・ソースから収集された情報のうち、平均して58％しか実用化されていないことが明らかになりました。そして、調査対象の組織のうち、脅威インテリジェンス・ソースから収集した情報のすべてが実用的であると回答したのはわずか2％でした。

ノートPCやコンピュータ（33％）、プリンタ（31％）、携帯電話（34％）などの資産は、約3分の1の組織が、セキュリティ更新はエンドユーザーや資産を管理する人たちだけに委ねられていると報告しています。このような種類の資産は、全体から見れば取るに足らないものに見えるかもしれませんが、プリンタのようにセキュリティ・アップデートを施すのを忘れられがちな資産の場合、計り知れないセキュリティ問題を引き起こす可能性があるのです。

最も懸念されるのは、調剤システム、輸液ポンプ、心電図などの医療機器で、1年以上前の脆弱性を持つ資産の割合が30％から50％に達しており、脆弱性管理の面で明らかに後れをとっています。

攻撃対象領域の管理の必要性

5人に4人以上（83％）が、ネットワークに接続された資産の管理に関して、組織はもっと積極的になれるはずだと考えています。これに加えて、82％が発生したセキュリティ脆弱性に対処するために、組織にはより良いポリシーと手順の重要性を訴えています。

従業員が業務をするにあたり、企業が把握していないデバイスやアプリケーションを使用するシャドーITの制限がその理由の一つでしょう。企業ネットワークにアクセスする資産に許可されていないアプリケーションをダウンロードする能力を制限できるからです。

回答者の4分の3が、自社の従業員が、IT部門やITセキュリティ・チームが知らないうちに、企業ネットワークにアクセスする資産にアプリケーションやソフトウェアをダウンロードしていると報告しています。組織が完全に可視化していると思っていても、従業員がIT部門に知らせることなく、必要なアプリケーションやソフトウェアをダウンロードする方法を見つけることは明らかです。

だからこそ、組織はサイバーリスクから身を守るために、これらの資産を100％可視化できるようにすることが、組織にとって非常に重要なのです。

定期診断が健康への重要なステップ

定期診断が重要であるのは人間の健康と同じです。保険(防御)は健康を約束しません、健康を約束する可能性がより高いのは、健康であり続けるための運動や生活改善(投資)なのです。

だからこそ、すべての組織において健康診断のための投資が必要とされるのです。それはサイバー攻撃による被害を減らすためだけでなく、安心して取引ができる企業として信頼されるためにも当たり前になりつつあるからです。