公開日:2023年09月26日
/
更新日:2024年04月16日
近年、経済のグローバル化やデジタル化の進展に伴い、サプライチェーン上の脆弱性を狙ったサイバー攻撃が世界的なトレンドとなっています。被害によりサプライチェーンが分断され、物資やサービスの安定供給に支障が出れば、企業の死活問題になります。
本コラムでは、サプライチェーン攻撃の被害の事例や、企業のセキュリティ統制を解説するとともに、経済産業省が2023年3月に公開した「サイバーセキュリティ経営ガイドラインVer 3.0」から、サプライチェーン攻撃のリスク対策をご紹介します。
サプライチェーン攻撃とは
サプライチェーン攻撃の定義
サプライチェーンとは、製品・サービスの企画・開発から、調達、製造、在庫管理、物流、販売までの一連の流れ、およびそれに関わる組織群のことです。
サプライチェーン攻撃とは、このサプライチェーンを悪用したサイバー攻撃のことで、セキュリティ対策が脆弱な企業を踏み台にして、本命の標的企業を攻撃するのが特徴とされています。
また、サプライチェーンが広範で複雑なほど、攻撃に遭遇するリスクが増大します。業種によっては数万社以上に及ぶ企業がサプライチェーンを構築している例もあり、侵入経路を特定する難しさも課題となります。
サプライチェーン攻撃の手法
サプライチェーン攻撃の手法は大きく2つあります。
①グループ会社や委託先を踏み台とする攻撃
セキュリティ対策が脆弱なグループ会社や委託先企業を足掛かりに、標的企業にサイバー攻撃を仕掛ける手法です。例えば、子会社に不正アクセスして社内ネットワークに侵入し、サプライチェーンの情報網を介して標的の機密情報を盗み出すケースが該当します。
②ソフトウェアサプライチェーンを狙う攻撃
ソフトウェアを開発するサプライヤーの脆弱性を突いた攻撃です。攻撃者は、ソフトウェアや更新プログラムに悪意のあるプログラムを埋め込み、それを使用した企業をウイルスに感染させます。アメリカの調査会社Gartner, Inc.が、2025年までに世界中の組織の45%が被害に遭うと予測*1するなど、世界的なトレンドになっています。
*1 出典:Gartner, Inc. 7 Top Trends in Cybersecurity for 2022 (参照:2022年4月13日)
サプライチェーン攻撃の発生状況
近年、サプライチェーンが国境を超えて拡大傾向にあることに加え、デジタル化により企業間の情報のつながりも強くなっています。これは裏を返せば、攻撃者にとって攻撃しやすい対象が増えたといえます。独立行政法人情報処理推進機構(以下、IPA)も「情報セキュリティ10大脅威」の上位に位置付けるなど、警鐘を鳴らしています。
株式会社日経リサーチとトレンドマイクロ株式会社による「サイバーセキュリティに関する調査」*2によると、自社の委託先、グループ会社、グローバル拠点いずれかがサプライチェーン攻撃を受けたと回答した企業は約43%にも上り、サプライチェーン全体のセキュリティ対策が急務である状況といえるでしょう。
*2 出典: 株式会社日経リサーチ と トレンドマイクロ株式会社 による合同調査(参照:2022年7月1日)
サプライチェーン攻撃の事例
米政府機関も被害、史上最大級のソフトウェアサプライチェーン攻撃
2020年12月、ネットワーク監視ソフトウェアを導入している、世界中の企業や政府機関がサイバー攻撃の被害に遭いました。攻撃者がこのソフトウェアの開発環境に侵入し、アップデートプログラムに悪意のあるコードを埋め込んだことが原因でした。
この攻撃は、不正アクセスや機密情報の窃取など、アメリカを中心に甚大な被害をもたらしました。しかし、サプライチェーンを隠れ蓑にした非常に高度な攻撃だったため、発覚に1年以上かかりました。本来、社内ネットワークを安全で安定的に稼働させるためにインストールしたネットワーク監視ソフトウェアが、情報を窃取するために悪用されているなど、だれが予測できたでしょうか。
医療機関がサプライチェーン攻撃で一時停止、給食業者経由で侵入
2022年10月、自治体の医療センターのサーバーが、取引先の給食業者を経由して身代金要求型ウイルスであるランサムウェアに感染し、電子カルテシステムが利用できなくなりました。これにより、医療センターは手術の延期や外来診療の停止を余儀なくされ、深刻な被害が出ました。
医療機関が機能不全に陥ると、地域の安心が揺らぎます。業界や企業規模に関係なく、全ての組織が直面するリスクを予見し、対策を練る必要があるといえるでしょう。
サプライチェーン攻撃へのリスク対策
【最新動向】日本企業におけるセキュリティ統制
サプライチェーンを統括する企業にとって、グループ会社や委託先のセキュリティ対策状況を把握できているかは重要な要素です。
セキュリティ対策の把握状況
しかし、NRIセキュアテクノロジーズ株式会社の調査*3によると、子会社・グループ会社については、国外の把握率が約56%と低い傾向にあり、委託先企業については国内外を問わず、把握率が50%に満たないことがわかりました。
アメリカやオーストラリアでは、国内外を問わず、子会社・グループ会社、委託先企業の約80%を把握することができています。この事実は、日本のセキュリティ統制が遅れているという現状を示しています。
セキュリティ体制における3つの課題
さらに、『情報セキュリティ白書2023』*4によると、日本企業のセキュリティ体制について、3つの課題があることがわかりました。
CISOの設置率の低さ
CISO(最高情報セキュリティ責任者)は、経営層とセキュリティ担当者をつなぎ、対策の立案や実践まで担うリーダーです。しかし、その設置率は、日本ではわずか4割弱にとどまり、アメリカと比べると低い水準となっています。
セキュリティ人材不足
CSIRTを含むセキュリティ担当者および管理者の不足が顕著となっています。CSIRTはサイバー攻撃に関する情報収集・分析や、インシデント発生時の全体統括を担う、企業のセキュリティ対策の中核組織です。日々発生する問題に迅速かつ適切な対応が求められるため、人材の確保が急務となっています。
経営層の関与度の低さ
企業の半数以上が、セキュリティ対策に経営層が関与しておらず、IT部門に任せきりであることも課題となっています。
これらを踏まえると、まずは経営層がセキュリティ対策を重要な課題として認識し、セキュリティ体制の構築や人材の育成・確保に積極的に関わることが、重要と言えるのではないでしょうか。
*4 出典:独立行政法人情報処理推進機構(IPA) 情報セキュリティ白書2023
サイバーセキュリティ経営ガイドラインVer3.0より
最後に、具体的な対策についてご紹介します。以下は、経済産業省とIPAが合同で策定した「サイバーセキュリティ経営ガイドラインVer3.0」*5を参考に、サプライチェーン全体のセキュリティ強化に向けた対策例をまとめたものです。対策状況のチェックなどにご活用ください。
*5 出典:経済産業省,独立行政法人情報処理推進機構(IPA) サイバーセキュリティ経営ガイドラインVer3.0
おわりに
サプライチェーンにおけるセキュリティ脅威は日々増加しています。しかしながら、日本企業のセキュリティ統制は、多くの場合、発展途上にあると言わざるを得ません。サプライチェーンに関わるすべての企業のセキュリティ対策状況を把握するのは大変困難なことですが、経営層がリーダーシップをとり、対策に乗り出すことが求められています。
SCSKサービスウェアは、ウェビナー「大和ハウスグループの実例に学ぶ!グループ全体のセキュリティ強化を成功させる秘訣とは?」(2023年6月28日配信)の無料アーカイブ配信を行っています。大和ハウスグループ全体のセキュリティ統制を進めるうえでの失敗談や苦労話をもとにした、生の声が聞けるまたとない機会です。ぜひご視聴ください。
【アーカイブ配信】大和ハウスグループの実例に学ぶ!グループ全体のセキュリティ強化を成功させる秘訣とは?
セキュリティ強化にどう取り組むべきか迷っていますか?大和ハウスグループの実例から学ぶSOC/CSIRT運用体制とEDR導入の秘訣をご紹介します。
