サプライチェーン攻撃とは?中堅・中小企業の情シスも油断できない理由
「規模が小さい企業はセキュリティ対策はそこまで真剣にやらなくても…」もし、そう考えている情シスや経営層がいたら、それはとても危険な状態です。その理由の1つとなる、サプライチェーン攻撃について今回は紹介します。なお、このnoteは主に中堅・中小企業の新任情シスや兼任情シス向けの内容です。
1. 「情報セキュリティ10大脅威 2023」の2位、サプライチェーン攻撃とは?
IPAが毎年公表している「情報セキュリティ10大脅威」に前年の3位からランクアップして2位となったのが「サプライチェーンの弱点を悪用した攻撃」(本コラムでは、これをサプライチェーン攻撃と呼びます)。今回は、このサプライチェーン攻撃の概要と対策について見ていきましょう。
サプライチェーン攻撃とは、攻撃を受けた企業を踏み台に関連企業やグループ企業、委託先や元請けなど商流に関わる組織に不正アクセスなどサイバー攻撃を行うことです。IPAでは、このサプライチェーン攻撃について下記のように説明しています。
商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼ぶ。攻撃者はそのサプライチェーンを悪用し、セキュリティ対策の強固な関連企業・サービス・ソフトウェア等は直接攻撃せずに、それ以外のセキュリティ対策が脆弱なプロセスを最初の標的とし、そこを踏み台として顧客や上流プロセスの関連企業等、本命の標的を攻撃する。
このサプライチェーン攻撃が恐ろしいところは、乗っ取り被害に遭った企業経由で関連企業や取引先を攻撃してしまうことです。つまり、気づかないうちに被害者から加害者になってしまうのです。例えば、標的とする企業のセキュリティが強固な場合、サプライチェーンの中でセキュリティ対策が不十分な中堅・中小企業を攻撃し、そこを踏み台に他の標的とする企業を攻撃することも考えられるのです。中堅・中小企業は「自社は規模が小さいのでサイバー攻撃されないのでは?」とは、決して言えないということがわかります。
また、サプライチェーン攻撃にはもう1つ、「ソフトウェア開発のライフサイクルに関与する全てのモノ(コード、ライブラリ、プラグイン、各種ツール等)や人(開発者、運用者等)を狙った攻撃」である、「ソフトウェアサプライチェーン」攻撃を指す場合もありますが、本コラムでは、関連企業や取引先企業を狙う攻撃の方を中心に解説します。
2. 自社のみならず、委託先のセキュリティの責任も問われることに
規模の小さな企業が自社のセキュリティを軽んじてしまうことで、顧客企業などへの攻撃の踏み台になってしまう可能性があるのがサプライチェーン攻撃です。まずは自社が乗っ取りなどの被害に合わないように対策を行うことが欠かせません。
また一方で、委託先や下請け企業などの管理も必要ということになります。例えば自社の委託先企業のセキュリティ対策が甘く、その企業を経由し自社および自社の取引先企業が攻撃されてしまった場合、自社が委託先の管理不十分であるとして、その責任を問われることになります。
自社および委託先が乗っ取り被害に遭った場合を考えてみましょう。自社を踏み台に取引先企業Aなど複数社を攻撃してしまうことで、サプライチェーンに影響が発生します。製造業であれば部品調達や配送などに影響が及び、ビジネスはストップしてしまう可能性があります。また、個人情報の漏洩による被害が発生するかもしれません。
このような被害にあった時のワーストケースを考えると、取引先企業から取引停止になる可能性があるばかりではなく、納期の遅延などによる賠償金の請求、訴訟なども考えられます。ほかの顧客からの受注も停止するなど信頼が失墜し、事業継続が危ぶまれる可能性もあるでしょう。例え自社がサイバー攻撃の被害を受けた側であっても、踏み台にされて攻撃されることで加害者になってしまうことの恐ろしさがこの攻撃にはあるのです。
また、実際に発生したサプライチェーン攻撃による被害事例はIPAの資料などでも紹介されていますので、参考までチェックしてみてはいかがでしょうか。
▼参考資料
IPA「情報セキュリティ10大脅威 2023 ~全部担当のせいとせず、組織的にセキュリティ対策の足固めを~[組織編]」
3. サプライチェーン攻撃への対策は?
サプライチェーン攻撃の被害を重く見た政府は、2022年3月には次のような注意喚起を行っています。
自社がサイバー攻撃による被害を受けた場合、その影響は自社にとどまらず、サプライチェーン全体の事業活動に及ぶ可能性があることを踏まえ、「サイバーセキュリティお助け隊サービス」の活用など積極的なサイバーセキュリティ対策に取り組むことを推奨します。
また、同注意喚起では「中小企業、取引先等、サプライチェーン全体を俯瞰し、発生するリスクを自身でコントロールできるよう、適切なセキュリティ対策を実施するようお願いいたします」としており、その対策について次のように述べていますので、一部を引用します。
1.リスク低減のための措置
〇パスワードが単純でないかの確認、アクセス権限の確認・多要素認証の利用・不要なアカウントの削除等により、本人認証を強化する。
〇IoT 機器を含む情報資産の保有状況を把握する。特に VPN 装置やゲートウェイ等、インターネットとの接続を制御する装置の脆弱性は、攻撃に悪用されることが多いことから、セキュリティパッチ(最新のファームウェアや更新プログラム等)を迅速に適用する。
〇メールの添付ファイルを不用意に開かない、URL を不用意にクリックしない、連絡・相談を迅速に行うこと等について、組織内に周知する。
2.インシデントの早期検知
〇サーバ等における各種ログを確認する。
〇通信の監視・分析やアクセスコントロールを再点検する。
3.インシデント発生時の適切な対処・回復
〇データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。
〇インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、対外応答や社内連絡体制等を準備する。
つまり、リスクを考えてあらかじめ備えること、怪しい挙動を素早く検知する仕組みを設けること、インシデントが発生することも想定した対応をあらかじめ検討しておくことが指摘されています。
サプライチェーン攻撃対策として具体的には、自社内(自組織)向けと、委託先や関連企業向けに分けて考える必要があります。自社内向けには、上記のような従来の基本的なセキュリティ対策に加え、委託先など関連企業との契約内容を見直すことや、定期的に更新することが求められるようになります。IPAが「情報セキュリティ10大脅威 2023[組織編]」でまとめている、サプライチェーン攻撃への対策を下記に紹介します。
自組織向けの対策
●被害の予防
-業務委託や情報管理における規則の徹底
-報告体制等の問題発生時の運用規則整備
-納品物の検証
(組み込まれているソフトウェアも把握し、脆弱性対策を実施)
-情報セキュリティの認証取得(ISMS、Pマーク、SOC2、ISMAP等)
-公的機関が公開している資料の活用
●被害を受けた後の対応
-組織の方針に従い各所へ報告、相談する
※上司、CSIRT、関係組織、公的機関等
-影響調査および原因の追究、対策の強化
-被害への補償
委託先や関連企業向け自組織の商流に関わる組織)
●被害の予防
-信頼できる委託先、取引先、サービスの選定
-契約内容の確認(契約時に取引先における情報管理等の規則を確認)
-取引先や委託先組織の管理
(情報セキュリティ対応の定期的な確認、監査)
●被害を受けた後の対応
-組織の方針に従い各所へ報告、相談する
※上司、CSIRT、関係組織、公的機関等
また、経済産業省と公正取引委員会でも、「サプライチェーン全体のサイバーセキュリティ向上のための 取引先とのパートナーシップの構築に向けて」として、対策方法について紹介しています。
産業界でも、中小企業を含むサプライチェーン全体でのサイバーセキュリティ対策の推進運動を進めていくことを目的とした「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」が設立され、IPAが事務局となり専門ワーキンググループを実施するなどの活動を行っています。
政府や環境庁、関連団体を含めて様々な取り組みが進められていますので、まずはこうしたリリースなどを参考に、自社でのサプライチェーン攻撃対策のあり方を検討してみてはいかがでしょうか。
おわりに
今回は、昨今、その脅威が増しているサプライチェーン攻撃の概要と対策について紹介しました。自社ビジネスに直接関与する部分が攻撃に遭うことから、中堅・中小企業もさらなる対策の強化が求められることでしょう。また、中堅・中小企業の方はこれからの対策を考える上で、下記の資料も有効ですので、ダウンロードしてはいかがでしょうか。
また、ソフトクリエイトは「情シスレスキュー隊」にて、情シスに役立つ様々な情報を発信しています。こちらもぜひご覧いただき、情シス業務にお役立てください。