はじめに
2020年は新型コロナウイルスの流行によりオリンピックは延期に、また企業はテレワーク化が進むなど環境について大きく変わる年でした。一方、情報セキュリティに関してはEmotetを含めたサイバー攻撃の横行が後を立ちません。中でも近年注目を集めているのが「サプライチェーンを狙った攻撃」です。
独立行政法人 情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威 」でも、2019年では「サプライチェーンの弱点を悪用した攻撃」が圏外から4位まで急上昇しており、今年も同位タイとなっています。
そのような背景もあり、2020年11月に産業界が一体となって中小企業を含むサプライチェーン全体でのサイバーセキュリティ対策の推進運動を進めていくことを目的とした「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」が設立されました。
今回は、そんなサプライチェーンのセキュリティについて、IPAが公開している「サプライチェーンのセキュリティ脅威に備える」を紐解いてみました。
【1】サプライチェーンとは
ご存じの方も多いとは思いますが、サプライチェーンとは、商品やサービスを形づくるための一連のプロセスのことです。本資料ではITサプライチェーンで説明されていますが、製造業でいうと製品/商品の原材料・部品の調達→製造→在庫管理→配送→販売→消費までの全体の一連の流れを指します。
そして、供給連鎖の過程を狙ったサイバー攻撃が「サプライチェーン攻撃」と呼ばれます。
【2】サプライチェーンのリスク
サプライチェーンのセキュリティリスクは、従来、災害などに起こっても事業を止めない事業継続に重点を置いていましたが、現在のサプライチェーンのリスクは主に情報漏えいを指します。
特に、情報セキュリティ対策が強固とはいえない中小企業を対象にサイバー攻撃をしかけ、本命である大企業や親会社へとサイバー攻撃を行う傾向があります。
例えば、委託先がWEBサイトの運営を再委託しており、再委託先でWEBサーバーの脆弱性をついた攻撃を受け、結果として最大約15万件の個人情報が流出したという事件もありました。
また、情報漏えいリスクはサイバー攻撃だけではありません。過去には大手学習塾の委託先社員が個人情報を約4万件持ち出し、名簿業者に売却したという報道もありました。
このように、委託元ではなく委託先やその先の再委託先などがサイバー攻撃を受けたり、内部不正を行うことで、委託元が被害にあってしまう事例が多く見られるようになってきました。
【3】今からやるべき情報漏えい対策は?
本資料内に掲載されているアンケートには、約86%の組織が「直接の取引がある委託先の状況を把握しているが、 再委託先以降の状況を把握しているのは約47%」という結果であったということです。そのため、まずはセキュリティ対策の責任者(=経営者)をきちんと明確にした上で、実施状況が把握できる管理体制を企業の規模や実情に応じ構築することが大事です。
下記は、基本方針や体制が構築されたあとの対策として紹介されております。
1:重要情報の特定
重要情報と一般情報の区分けを決めて、重要情報に関しては取り扱い範囲や廃却方法などルールを定めて定期的に見直す必要があります。
2:「接近の制御」「持ち出し困難化」「視認性確保」
守るべき情報が決まったら、次は機密情報にアクセスさせないようにしたり、USB等での持ち出しを禁止するといったツールでの制御を行う必要です。また、不正な動きや操作はないかなど、視覚的に確認できるような環境があるとより望ましいです。
3:情報セキュリティ5か条
本資料では下記5つの対策を説明しております。
・OSやソフトウェアは常に最新の状態に!
・ウイルス対策ソフトを導入しよう!
・パスワードを強化しよう!
・共有設定を見直そう!
・脅威や攻撃の手口を知ろう!
【4】おわりに
近年注目されているサプライチェーンによる情報漏えい。サイバー攻撃が拡大する現在、委託先は「小さい会社だしどうせ狙われない」と思って対策をしないという考えは残念ながらもう古いです。例えば、ISMSを取得することで、委託元への安心感や信頼性の向上します。余談ではありますが、ISM CloudOneでは内部統制の一環としてISMS取得/維持管理の支援も可能ですので、気になる方はぜひご覧ください。
また、委託元も委託先と情報共有を行うことで対策状況をチェックしてみたりしてはいかがでしょうか。
【補足】本コラムは、独立行政法人 情報処理推進機構(IPA)が発行している「サプライチェーンのセキュリティ脅威に備える」を参考にしています。