企業規模や業界を問わず、複数の企業や団体、もしくは個人とソフトウェアやツールを開発する企業が増えています。外部と協力することで、少ないリソースでも高い競争力を維持できます。
しかし、複数企業が関与するITサプライチェーンを構築することで、サイバー攻撃の被害に遭うリスクが高まるのです。適切なセキュリティ対策を講じても、対策の薄い外部企業が入り口となり、サイバー攻撃の被害に遭うケースは増加しています。
それでは、ITサプライチェーン全体のセキュリティ対策を高めるには、どうすればよいのでしょうか。本記事では、ITサプライチェーンを狙う主なサイバー攻撃や有効な対策などを解説します。
ITサプライチェーンとは
そもそもITサプライチェーンとは、情報技術(IT)における製品やサービスを消費者に届けるまでの過程全体を指します。これには、製品やサービスを提供する際に関わるすべてのプロセスやパートナー企業、販売代理店、サプライヤーなどが含まれます。
IT製品の多くは、ハードウェアやソフトウェア、セキュリティ対策などの複数の要素の組み合わせで成り立っています。そして、それぞれの要素は異なる企業によって提供されることが一般的です。
特に社内に十分なリソースがない企業の場合、一部業務を外部企業に委託するのではないでしょうか。ITサプライチェーンは、ビジネスの効率性や競争力に大きな影響を与える重要な要素ですが、同時にその複雑さや多様性がセキュリティリスクやサイバー攻撃の機会を増大させているのです。
そのため、ITサプライチェーン全体のセキュリティと信頼性を確保することが、企業の安定的な運営と顧客信頼の維持にとって不可欠です。
ITサプライチェーンを狙う主なサイバー攻撃
ITサプライチェーンを狙う主なサイバー攻撃は以下の通りです。
● サプライチェーン攻撃
● ランサムウェア攻撃
ここからは、各サイバー攻撃の詳細を解説します。
サプライチェーン攻撃
サプライチェーン攻撃とは、サプライチェーン内に関与する委託先などに仕掛けるサイバー攻撃です。自社がどれだけ厳重なセキュリティ対策を実施しても、セキュリティ対策の薄い委託先へのサイバー攻撃をきっかけに、自社に不正アクセスされる可能性があります。
有名な事例として、2020年のSolarWinds事件があります。ロシアのハッカーグループが、IT管理ソフトウェアのSolarWinds社のソフトウェアにバックドア(不正侵入するための入り口)を仕込み、同社のソフトウェアを利用する数百の企業や政府機関に対する攻撃を行いました。
この事例のように、サプライチェーン上に存在する企業や組織が不正侵入の入り口となり、自社の機密情報の盗難や他のサイバー攻撃を仕掛けられるリスクがあるのです。
ランサムウェア攻撃
企業規模や業界を問わず、企業にとってランサムウェア攻撃は深刻な脅威となっています。Hornetsecurityによるランサムウェア調査では、以下のポイントが判明しています。
● 5社に1社以上がランサムウェア攻撃の被害に遭っている
● 10社に1社近くがデータ復旧のために身代金の支払いを余儀なくしている
● 企業の15.2%がバックアップを保護していない
そもそもランサムウェア攻撃とは、ファイルや重要データを暗号化し、身代金と引き換えに復号キーが渡される攻撃です。現在はランサムウェア攻撃が巧妙化しており、データの暗号化と流出を脅す二重脅迫型ランサムウェア攻撃や身代金を支払ってもデータ復旧できないケースも増加しています。
ランサムウェアの感染経路は、フィッシングメールやソフトウェアの脆弱性など多岐にわたります。ITサプライチェーン上に存在する企業がランサムウェア攻撃の被害に遭うことで、業務の滞りや自社データの漏えいなど被害につながる可能性は高いのです。
ダークウェブの役割と重要性
ダークウェブとは、サイバー犯罪者がランサムウェアなどの悪意のあるツールや盗難した機密情報を売買する場所です。弊社がダークウェブ監視ツール「StealthMole」を用いて、国内100大企業のダークウェブ流出状況調査をしたところ、全ての企業で機密情報の流出が確認できました。
自社が適切なセキュリティ対策を講じていても、ITサプライチェーン上にある委託先が入り口となり、自社の機密情報がダークウェブに流出する可能性は高いです。ダークウェブは危険なプラットフォームである一方、定期的に監視することで新たな攻撃手法やターゲットの予測、自社の機密情報の流出状況を確認し、迅速に対策を講じられます。
ITサプライチェーンのサイバーセキュリティ対策
ITサプライチェーンには複数の企業が関与するため、適切なサイバーセキュリティ対策を講じるのは困難です。しかし、これから紹介する3つのポイントを意識していただくことで、ITサプライチェーン全体のセキュリティリスクを軽減できます。
適切な委託先の選定
ITサプライチェーンに関わる企業や委託先を選定する際は、セキュリティ対策を重要視すべきです。過去のセキュリティインシデントや候補先のセキュリティポリシーを評価し、信頼性の高い委託先の選定をしましょう。さらに、第三者機関のセキュリティ評価を受けることで、その信頼性を裏付けられます。
契約書の見直し
契約書にはセキュリティに関する取り決めを明確に記載することが重要です。具体的なセキュリティ基準やデータの取り扱いに関する項目を含め、委託先との合意を法的に保障することで、リスクを最小限に抑えられます。
また、情報漏えい時の責任分担や損害賠償に関する条項も含め、サイバー攻撃発生時の対応策を明確にすることが重要です。
委託先の定期的な監査
委託先のセキュリティ対策や体制を定期的に監査しましょう。初めのうちは適切なセキュリティ対策ができていても、体制の変更などでセキュリティ環境が変わるケースが多いためです。
また、定期的な監査をすることで、委託先のセキュリティが甘くなるリスクの防止にもつながります。委託先のセキュリティ状況を定期的に監視し、必要に応じて改善を求めましょう。
まとめ
外部企業と協力することで、効率よくソフトウェアやITツールの開発ができます。しかし、ITサプライチェーンでは複数の企業が関与する性質上、サイバー攻撃の被害に遭うリスクが高まります。
自社は適切な対策を講じていても、委託先のセキュリティが甘ければ委託先が入り口となりサイバー攻撃の被害に遭ってしまいます。外部企業のセキュリティを完全にコントロールするのは困難ですが、契約書の見直しや定期的な監査は委託先のセキュリティ意識を高めるでしょう。
また、委託先がサイバー攻撃を受ける前提での対策も重要です。ダークウェブ監視を実施すれば、自社の機密情報の流出状況を確認し、被害を最小限に抑える対策を迅速に講じられます。
「自社の流出状況は大丈夫だろうか」「どのような調査結果を得られるのか?」と疑問に思われた方は、ぜひ下記フォームより、毎月10社限定でご提供している無料のダークウェブ調査をお申し込みください。