近年、サイバーセキュリティの分野において「サプライチェーン攻撃」という言葉を耳にする機会が増えています。この攻撃手法は、企業が直接狙われるのではなく、取引先や関連会社といったサプライチェーンを経由して、最終的な標的企業に侵入する巧妙な手口です。本記事では、サプライチェーン攻撃の実態と、企業が講じるべき具体的な対策について解説します。
サプライチェーン攻撃とは
サプライチェーン攻撃とは、自社ではなく取引先や関連会社といったサプライチェーンのいずれかを経由して、目的の企業に侵入する攻撃手法です。例えば、ソフトウェア開発会社が作成した正規のソフトウェアに悪意のあるコードを混入させ、そのソフトウェアを使用している企業群を一網打尽にするといった手口が該当します。
代表的な事例としては、SolarWinds社のソフトウェアを悪用した攻撃や、Kaseya社のVSAソフトウェアが狙われたランサムウェア攻撃などがあります。これらの事件は、自社がいくら強固なセキュリティを構築していても、外部の連携先に脆弱性があれば狙われてしまうという現実を示しています。
サプライチェーン攻撃が増加している背景
サプライチェーン攻撃が増加している背景には、いくつかの要因があります。第一に、主要な大企業が自社のセキュリティ対策を強化してきた結果、攻撃者は比較的防御が手薄になりがちな中小の取引先や、システムの開発・運用を委託している企業を狙うようになりました。
また、現代はデジタル化が進み、多くの企業がクラウドサービスを利用したり、システムを連携させたりしています。この相互接続性の高さが、一度サプライチェーンのいずれかに侵入されると、芋づる式に被害が拡大しやすい状況を生み出しています。
欧州連合サイバーセキュリティ機関(ENISA)のレポートによると、2021年のサプライチェーン攻撃の被害は前年比で4倍に増加したとされています。(https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks)
企業が講じるべき対策:可視化と評価
サプライチェーン攻撃に対して、企業は二つの重要な視点から対策を講じる必要があります。第一の視点は「可視化と評価」です。
自社のサプライチェーンにどのような企業が含まれているのか、それぞれがどのようなセキュリティ対策を講じているのかを正確に把握し、リスク評価を行うことが不可欠です。NIST(米国国立標準技術研究所)が発行している「サプライチェーンリスク管理に関するガイダンス(NIST SP 800-161)」などを参考にすることで、体系的なリスク評価が可能となります。
具体的には、取引先のセキュリティ体制を定期的に監査し、セキュリティ要件を満たしているかを確認する必要があります。また、ソフトウェアやハードウェアのサプライヤーについても、脆弱性管理プロセスが適切に実施されているかを評価することが重要です。
企業が講じるべき対策:連携と情報共有
第二の視点は「連携と情報共有」です。自社だけでは対策しきれない部分があるため、取引先とのセキュリティ要件を明確にし、契約に盛り込むことはもちろん、日頃から情報共有を密に行うことが求められます。
サプライチェーン全体でセキュリティレベルの向上を目指す姿勢が重要です。例えば、脅威情報の共有やインシデント発生時の連絡体制の構築、共同でのセキュリティ訓練の実施などが効果的です。また、業界団体やISAC(Information Sharing and Analysis Center)などを通じた情報共有も有効な手段となります。
さらに、契約段階からセキュリティ要件を明示し、取引先に対してセキュリティ対策の実施を義務付けることも重要です。定期的な監査やペネトレーションテストの実施権限を契約に含めることで、継続的なセキュリティレベルの維持が可能となります。
業界全体での取り組みの重要性
サプライチェーン攻撃は、一企業の努力だけでは防ぎきれない脅威です。そのため、サイバーセキュリティ業界全体が連携して取り組むべき大きな課題となっています。業界全体の連携や、新たな技術を活用した監視・防御策の開発が急務となっています。
例えば、ブロックチェーン技術を活用したソフトウェアサプライチェーンの透明性向上や、AI・機械学習を用いた異常検知システムの導入など、先進的な技術の活用が進められています。また、国際的な標準化や規制の整備も重要な要素となっており、各国政府や国際機関が協力して対策を進めています。
企業としては、こうした業界動向に注目し、最新の対策手法や技術を積極的に導入していくことが重要です。サプライチェーン攻撃の脅威を理解し、可視化・評価・連携という三つの柱を軸に、継続的なセキュリティ対策の強化を図ることが求められています。