取引先や利用サービスを通したサイバー攻撃に備える サプライチェーンセキュリティ
サプライチェーンとは、商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群のことです。このサプライチェーンを踏み台に本命企業を攻撃するサイバー攻撃をサプライチェーン攻撃と呼びます。近年では、IPA(独立行政法人 情報処理推進機構)が毎年公表している「情報セキュリティ10大脅威」でも上位に位置付けられる大きな脅威の1つとなっています。
サプライチェーン攻撃とは
サプライチェーン攻撃には大きく3種類の手口があります。
・取引先や関連会社を経由したサプライチェーン攻撃
セキュリティ対策の強固な標的組織は直接攻撃せずに、それ以外のセキュリティ対策が脆弱な取引先や委託先を最初の標的とし、そこを踏み台として標的組織を攻撃します。
・ソフトウェアを経由したサプライチェーン攻撃
ソフトウェア開発のライフサイクルに関与する全てのモノ(コード、ライブラリ、プラグイン、各種ツール等)や
人(開発者、運用者等)の繋がりを狙った攻撃もあります。開発元が納品するソフトウェアを経由して、標的組織を攻撃します。
・サービス提供者を経由したサプライチェーン攻撃
ITシステムの運用や保守など、標的企業へサービス提供を行っている事業者を最初の標的とし、そこを踏み台として標的企業を攻撃します。
いずれもサプライチェーンにおいて、標的組織への侵入を図るために悪用可能な箇所を狙い攻撃を仕掛けています。
アズジェントのサプライチェーン攻撃対策
サプライチェーン攻撃に対抗するには、自社のみならず取引先との連携を念頭に置いたセキュリティ対策を構築することが大切です。これまで述べてきた通り、サプライチェーン攻撃において、攻撃者はセキュリティ対策が手薄な部分を狙います。特に中小企業は、大企業と比較するとセキュリティ対策が不十分であることも多いため、最初の標的にされやすいといえます。サプライチェーン全体におけるサイバーセキュリティ対策強化のためにも、これを構成する中小企業・組織においてもサイバーセキュリティ対策の実施が求められています。
サプライチェーン攻撃対策のポイントを2つ挙げます。
1.自社のセキュリティ状況の把握と対策
まずは自社のセキュリティ状況を把握することが重要です。現在導入しているシステムやアプリケーションを洗い出し、それらに脆弱性はないか、設定が適切であるか等、必要なセキュリティ条件を満たしているか確認しましょう。
基本的な対策(IPA:情報セキュリティ5か条)の実施は勿論のこと、セキュリティポリシーの策定やサプライチェーン全体のインシデントに対応可能な体制の構築も必要です。
- アタックサーフェスマネジメント(ASM)
外部から攻撃を受ける可能性のある領域やIT資産、それらを形作るあらゆる構成要素のことを「アタックサーフェス」と呼びます。「アタックサーフェスマネジメント」とは、これらアタックサーフェスを適切に把握し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセスを指します。 ASMを利用することで、組織の公開IT資産を把握し、状況に応じたセキュリティ対策の検討が可能となります。 アズジェントでは、自組織向けのASM調査を無償で提供しております。公開IT資産状況の把握後の対策も、様々な対策ソリューションのご提案が可能なアズジェントへご相談ください。
・攻撃者に狙われやすいかどうかの指標となるリスクスコアがわかります
・インターネットからアクセス可能はIT資産の総数がわかります
・主な脆弱性や設定ミスがわかります
詳細ページへ
ASMチェックアップ
無償分析サービス
- 脆弱性診断サービス
自社のネットワークやアプリケーションに潜む脆弱性を検査します。ASMでIT資産を確実に把握したうえで、より脆弱性情報の確度が高い脆弱性診断を行うといった活用の仕方をお勧めします。
Webアプリケーション診断サービス
プラットフォーム診断サービス
ペネトレーションテスト
2.サプライチェーンを構築する組織間で協力体制を整える
サプライチェーン全体で協力し、セキュリティ強化することが重要です。新たな取引先とは、責任範囲やセキュリティリスクへの対応内容についてを明確にし、契約として取り交わします。