サプライチェーンのサイバーリスクとは?

 

 アメリカが中国の大手通信機器メーカー「華為技術(ファーウェイ)」に対し、米国内での使用禁止措置を取るなど、大胆な制裁が話題になりました。

 この背景には、アメリカが厳重に管理し守っているサプライチェーンの安全が脅かされようとしているということがあります。

 これを懸念したアメリカは、中国製品を自国から徹底的に排除するような動きを示しました。

サプライチェーンリスク把握していますか?

 サプライチェーンとは、モノ(ハードウェア)やサービス(ソフトウェア)を完成するにあたり、部品単位のところから最終的に顧客の元へ届けるまでの流れや物流のことをいいます。

 現在このサプライチェーンが、大規模なサイバー攻撃対象となっています。

 では、どのようにしてサプライチェーンのリスクを把握すればいいのでしょうか?

NIST SP 800-171に準拠する自己評価

 NISTとはアメリカの国立標準技術研究所のことであり、NIST SP 800-171とはNISTが米国政府と取引するために求められる情報セキュリティのガイドラインです。

 アメリカの基準ではありますが、アメリカと取引する国や組織も自動的にそれらに従わざるを得なくなり世界中に影響を及ぼします。

 今後日本の組織のグローバル化がさらに進むならば、当然日本の組織もこれらを無視できなくなります。

 つまり、ITに関わりを持った全ての組織がこのガイドラインを遵守することが求められると言ってもいいでしょう。

 そこで、自身の組織のサプライチェーンが情報リスクを抱えていないか、NIST SP 800-171を使用して自己評価を行うことが大切です。

 NIST SP800-171に書かれている自己評価の項目とはどのようなものがあるのでしょうか?

 実際にはインフラの保護を目的として記載された「CSF(Cyber Security Framework)」が元になっています。

 ただし、これらには特定・防御・検知・対応・復旧の5つの構成から成っており、サプライチェーンにもこれらの要件を当てはめて評価することができます。
参照元:FUJITSU「日本企業が認識すべき「NIST SP800-171」のインパクト」より

サプライチェーンを狙うサイバー攻撃

 IPAが毎年公表している「情報セキュリティ10大脅威 2019」において、サプライチェーン攻撃が上位に位置する結果になりました。

 それほど多くの組織が脅威に感じており、かつ対策を講じるべきであると意識しているサプライチェーン攻撃は、実際にどのような手口で行われているのでしょうか?

『情報セキュリティ10大脅威 2019』の上位に浮上

 IPA(情報処理推進機構)が毎年公表している「情報セキュリティ10大脅威 2019」において、今年の脅威の中に「サプライチェーンの弱点を悪用した攻撃の高まり」が第4位にランクインしました。

 同ランキングにおいて「標的型攻撃」が1位にランクインしており、標的型攻撃の攻撃手段としてサプライチェーン攻撃が頻繁に利用されることから、決して無視できない脅威であることが伺えます。

 ここ数年第1位に選ばれている「標的型攻撃」の手口として「サプライチェーン攻撃」が多用される恐れも懸念されています。

 その他にも、2015年に経済産業省が公表した「サイバーセキュリティ経営ガイドライン」において「自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要」と記し対策を促しており、2018年にセキュリティ企業CrowdStrikeが行なった調査によれば、サプライチェーン攻撃の被害に遭っているにも関わらず、日本でサプライチェーン攻撃に対する対策を行っている企業はたったの37%しかいなかったことがわかりました。

 しかもこの実態は、主要国のなかで最も低いと報告されています。

サプライチェーン攻撃の手口

・一つの組織から関連企業全般へ

 セキュリティ対策がおろそかであるがために、侵入が容易な組織へ攻撃を行い、侵入に成功したあとはその組織の関連企業全てに侵入してしまう場合があります。

 侵入手段は主にメールの盗聴や仕掛けたウイルスを介して情報を盗み出し、取引先になりすましたメールを送付することでログイン情報等を聞き出し侵入します。

 それらを繰り返して様々なネットワークやシステムに侵入することが可能となります。
参照元:サービス&セキュリティ株式会社「取引先など関連組織を狙った攻撃の一例」より

・ソフトウェアを利用したサプライチェーン攻撃

 ソフトウェア含まれている脆弱性を利用したサプライチェーン攻撃も存在します。

 攻撃者はターゲットとした組織に直接攻撃するのではなく、組織が使用しているソフトのベンダーへ侵入します。

 ベンダーが公表するパッチを不正に改ざんしたりウイルスを埋め込ませることで、ターゲットに気づかれずウイルスに感染させることができます。

 このため、自身の組織が使用しているソフトウェアやバージョンの公開は、非常に危険であるため秘匿する必要があります。

 ウイルスの感染に成功してしまえば、ウイルスを通じてターゲットのシステムから関連企業のシステムにまで侵入経路を広げてしまいます。
参照元:サービス&セキュリティ株式会社「ソフトウェアサプライチェーン攻撃の一例」より

情報セキュリティに特化したリスクマネジメントはこれ!

 情報セキュリティに特化したサプライチェーンマネジメントとはなんでしょうか?

 それらの疑問に答えを出すには、サプライチェーンのどこに着目すれば良いのかという着目点と、最も気をつけなければならない点を定めることが必要です。

各プロセスの情報リスクマネジメント

 自身のプロセスから別の組織へ委託する場合、情報資産や情報の流通において、考えられる情報のリスクを洗い出します。

 例えば「システム機器へアクセス権限を与えた者が機密情報を持ち出してしまう」「セキュリティカードやモバイル端末を紛失してしまったことから情報が漏洩してしまう」等、自身の組織も含めて洗い出します。

 これら様々なリスクにスムーズ対応するためには、組織同士が互いに同じセキュリティアセスメントを遵守する必要があります。

 契約の際にはこれらセキュリティアセスメントの提案、同意を互いに交わすようにしましょう。

 以下に、契約の際の留意点をまとめた表を記載するので、参考にしてみてください。

参照元:経済産業省「情報セキュリティ管理基準」より

アメリカから見るサプライチェーンのリスク排除

 今年5月、ドナルド・トランプ政権が、中国大手通信機器メーカー「華為技術(ファーウェイ)」に製品を一切使用しないよう通達を出しました。

 アメリカの重要インフラに対しサイバー攻撃を仕掛けるおそれがあるという懸念や、その他物理的なサプライチェーンリスクを徹底的に排除するための動きです。

 これらに伴い、他の同盟国や貿易国に対しても同様の提案をしている模様です。

 このように、サプライチェーンに組み込まれている組織において、大きなリスクであると捉えた際に即切り離すことができるのは、その組織に対して依存していないから成せることであるとも考えられます。

 組織間において依存することがないよう常に代替の取引先を備えておくことが重要です。

まとめ

 IT市場の拡大や急速な普及に伴い、今後もますます組織同士の関係やサプライチェーンの全体が複雑化していくことでしょう。

 それらに伴い、取引先が不透明であったりリスクであると感じた際には即座に適切な対応を施すことが求められます。

 それを可能にするためには、組織に対して依存することがないように、常に代替の組織を選定し控えておくことです。

 そうすればリスクへの対応が早まるだけでなく、サプライチェーンの構造を極力シンプルに実態を把握しやすくすることができます。

 組織の選定先を検討する方法としては、様々な情報セキュリティ団体が提案するセキュリティガイドラインを参考にし、それらに沿って行うのが一番です。

 組織の選定の前にセキュリティガイドラインの選定を始めることをお勧めします。

 我々は、情報が漏洩した事後の対策としてサイバー保険をご紹介しています。是非、事前の対策だけではなく事後の対策も行いましょう。どの企業にも起こりうることです。

サイバー攻撃に対する必要な備えは大きく2つ
1.サイバー攻撃を受けないための対策
2.サイバー攻撃を受けた後の対策

詳しくはこちらのサイバー保険の専用ページをご覧ください。
月額5,000円から利用できるサイバー保険付帯サービス
サイバー保険をご検討中の方へ
「安心」で「快適」な「未来」をお客様とともに創造します!
・サイバー保険が気になっている
・保険料はどのくらいなのか
・サイバー保険でどこまで補償できるのか

上記に関することでご相談・ご質問等ございましたら、お気軽に弊社までお問い合わせください。