 |
|
「サプライチェーン攻撃を自動可視化で未然に防ぐ」 資料ダウンロードはこちら |
今、世界中で「サプライチェーン攻撃」が多発している。社会のセキュリティ意識が高まったことで、大企業や公的機関といった “これまで主要な攻撃対象とされてきた組織” は、セキュアな仕組みを自組織に持ち始めている。しかし、取引先や子会社、工場も同じかというと、残念ながらそうではない。
この状況は、攻撃者の標的に変化を引き起こした。堅牢なセキュリティを敷く大企業ではなく、サプライチェーンに連なる脆弱な企業を標的に攻撃をしかける。そして、ネットワークを通じて、IT化やIoT化によりこれらの企業と相互接続関係にある本命たる大企業、公的機関への侵入を図る。これがサプライチェーン攻撃の正体であり、攻撃が増加している理由だ。これからのセキュリティは、自組織だけでなくサプライチェーン全体の対策状況までを把握し、各組織への指示を出していくことが求められる。
脅威を増すサプライチェーン攻撃への対抗策として、本稿ではイスラエルのPanorays Ltd.が開発したサプライチェーン評価システム「Panorays(パノレイズ)」を紹介したい。
子会社や取引先が狙われる?
サプライチェーン攻撃を自動可視化で未然に防ぐ!
> > 資料ダウンロードはこちら
サプライヤーのセキュリティ対策状況を “攻撃者目線” で評価
Panoraysは、サプライチェーンを構成する取引先、業務委託先、日本国内・海外のグループ会社といったサプライヤーのセキュリティ対策状況を評価し可視化する、リスク管理のプラットフォームとも呼ぶべきサービスだ。ユニークなのは、リスク評価のアルゴリズムである。
Panoraysでは、「アプリケーション」「ヒューマン」「ネットワークおよびIT」の3つの評価分類について、インターネット上の公開情報を基に、”攻撃者が組織に侵入するための調査活動” の視点からサプライヤーのセキュリティ対策状況を調査し、その結果をスコアリングする。
| 評価カテゴリー | 検出項目 |
|---|---|
| アプリケーション | ・危険性のあるアプリケーション設定の検出 ・ドメインの安全性の調査 ・一般的なWebアプリケーションの脆弱性の検出 |
| ヒューマン | ・漏えいしたアカウントの調査 ・なりすまし対策の調査 ・セキュリティチームの評価 |
| ネットワークおよびIT | ・危険性のあるWebサーバ設定の検出 ・危険性のあるメールサーバ設定の検出 ・危険性のあるDNS設定の検出 ・危険性のあるTLS設定の検出 ・危険性のある公開しているサービスの検出 ・調査対象のレピュテーション |
調査は非侵入的に行われるため、サプライヤーのシステムに負荷をかけることなくサプライチェーン各社のサイバーセキュリティ対策状況を把握することができる。さらに、Panoraysはスコアリングや可視化とともに、スコアが低い項目において何を指示すべきか、対応策についても示唆してくれる。状況を把握してすぐに実行に移すことができるため、対策のスピードを加速することが可能だ。
 |
|
攻撃者視点の評価内容例。 |
* * *
ダウンロード資料では、ある業界における国内3位の老舗企業の仮想事例から、サプライチェーン攻撃にどう立ち向かうべきか、そこでPanoraysをどのように活用すべきかをわかりやすく解説している。Panorays Ltd.は、現在までに全世界で約10万社のリスクを評価した実績がある。国内大手製造業や重要インフラ企業、金融機関など、数々の著名な企業での導入実績を持つ。
資料にあるのは仮想事例だが、その中身は今述べた実績に基づいたものだ。ぜひ参照のうえ、サプライチェーン攻撃への対策を講ずるための一助にして欲しい。
ダウンロード資料のご案内
子会社や取引先が狙われる?
サプライチェーン攻撃を自動可視化で未然に防ぐ!
[PR]提供:SOMPOリスクマネジメント