お役立ち情報サプライチェーン攻撃の被害を回避するために
リスクが増大しているサプライチェーン攻撃
急速な勢いで高度化し、その被害も巨額になっているサイバー攻撃。感染が再拡大している「Emotet」も、ターゲットへの侵入方法が以前よりもはるかに洗練されたものになり、感染後の挙動にも変化が見られるようになっています。情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」においても、2023年版では「ランサムウェアによる被害」が1位、「標的型攻撃による機密情報の窃取」が3位という結果となりました※1。
しかしサイバー攻撃の傾向に関して、もう1つ注目したいものがあります。それは「サプライチェーン攻撃」による被害が、目に見えて増えているということです。
サプライチェーン攻撃とは、ターゲットとなる企業や組織を最初から直接攻撃するのではなく、まずその取引先や関連企業・組織に侵入し、そこを踏み台にしてターゲットに近づいていく、という攻撃手法です。一般的にサプライチェーンというと、製造業における原材料や部品といった「モノの流れ」がイメージされますが、サプライチェーン攻撃は企業・組織間の「情報の流れ」に目を付けた攻撃だと言えます。現在ではビジネス上の関係にある企業や組織は、必ず何らかの形で「デジタルによる情報交換」を行っています。その一連の流れの中に存在する「脆弱な部分」を狙い、サプライチェーンの中に侵入した上で、企業・組織の壁を越えたラテラルムーブメント(横方向への侵入・感染拡大)を行うのが、サプライチェーン攻撃なのです。
<サプライチェーン攻撃>
サプライチェーン攻撃の被害として有名なのは、米国最大手の石油パイプライン企業が被ったものだと言えるでしょう。この時には米国東海岸の石油消費量の半分近くを担うパイプラインの操業が一時ストップし、米国内では供給不安からガソリンスタンドに長蛇の列ができました。また日本でも2022年3月に大手自動車メーカーがサプライチェーン攻撃を受け、複数企業が製造を見合わせざるを得ない結果となりました。実際に攻撃を受けた企業は自動車部品メーカーでしたが、その被害により自動車メーカーへの部品供給が滞り、結果として自動車メーカーは生産ラインを停止せざるを得なくなりました。これらの攻撃による機会損失額は膨大であり、さらに復旧のためのコストもかかると考えられます。
前述の「情報セキュリティ10大脅威 2023」でも「サプライチェーンの弱点を悪用した攻撃」は第2位にランキングされています。2022年には3位だったので、昨年よりもさらに大きなリスクになったとみなされているのです。
脚注
※1 https://www.ipa.go.jp/security/10threats/10threats2023.html
「測定できないものは改善できない」はセキュリティでも同じ
サプライチェーン攻撃の怖さは、自社がいくら堅牢な対策を講じていても、取引先や関連会社に脆弱性が存在すれば、その影響を完全に回避することが極めて困難なことです。理想は自社に関係する企業・組織すべてが堅牢な対策を実施することですが、これは決して簡単なことではありません。
その難しさは、経営者の意識だけを見てもすぐに理解できます。IPAが公開した「2022 年度情報セキュリティの脅威に対する意識調査 職業軸 脅威調査 PC」によれば、「フィッシングや詐欺サイトへのアクセスを防止するソフトまたはサービスの利用」という設問に対し、経営者・役員の51.3%が「実施していない」「わからない」「やり方がわからなくてできない」と回答しているのです※2。いざ対策を行おうと考えた場合でも、「実際にどこから手を付けたらいいのかわからない」というのが、多くの企業・組織の実情ではないでしょうか。
このようなハードルを乗り越える上で重要になるのが、サプライチェーン攻撃リスクの可視化・点数化です。デミング賞で知られるウィリアム・エドワーズ・デミング氏は「測定できないものは改善できない」という言葉を残していますが、これはセキュリティリスクでも同様だと考えるべきです。また可視化することでリスクの所在が明確になり、これまでリスクに対して無頓着だった人々が、より意識的に取り組むようになる、という効果も期待できます
もちろん、そのために取引先や関連会社に大きな負担を強いるようでは、可視化や点数化取り組みは広がっていかないでしょう。サプライチェーンの中に脆弱性が1つでも残っていれば、攻撃者はそこを狙ってきます。サプライチェーン攻撃の被害を最小化していくには、サプライチェーン全体のリスクを漏れなく、可視化・点数化することが重要なのです。
そこで検討したいのが、「サプライチェーン攻撃の狙われやすさ」を可視化・点数化するサービスの活用です。サイバー攻撃の手法は高度化し続けており、サプライチェーン自体も生き物のように変化していくため、可視化・点数化を1回だけ行うのでは意味がありません。このようなサービスを継続的に活用し、サプライチェーン全体を視野に入れた上で、改善を続けていくことが求められます。
繰り返しになりますが、目に見えていない問題を解決することはできません。可視化・点数化はサプライチェーン攻撃の被害を最小化していくための、最初の一歩だと言えます。その実現をお考えであれば、ぜひサイバネットにご相談ください。弊社では、セキュリティリスクレーティングプラットフォーム「SecurityScorecard」をご提供しており、サプライチェーンリスク可視化のご提案から、可視化した結果を元にした具体的なセキュリティ対策製品やソリューションのご提案まで、一貫した対応をさせていただきます。
脚注
※2 https://www.ipa.go.jp/security/reports/economics/hjuojm0000007fh1-att/000108299.pdf