目次
「サプライチェーン攻撃」とは、サプライチェーンである中小企業への攻撃を足掛かりに、ターゲットの大手企業に侵入しようとするサイバー攻撃の手口です。近年、大手企業の取引先や、サプライチェーン内の中小企業にとっても、重大な脅威として注目されています。そこでこのコラムでは、サプライチェーン攻撃のパターンや、不正アクセスを防ぐための対策を解説。サプライチェーンにおいて信頼される存在であり続けるための、セキュリティ強化策をお伝えします。
中小企業を狙う「サプライチェーン攻撃」とは?
「サプライチェーン」とは、商品の原料や部品の調達から、製造、在庫管理、物流、販売までの一連のプロセスのつながりと、そこに関わる会社などの組織のことを指します。サプライチェーン攻撃とは、このビジネス上のつながりを悪用して企業を狙うサイバー攻撃。サプライチェーン内の中小企業を経由して、セキュリティが強固で直接的な攻撃が難しい大手企業への侵入を狙う手口です。自社内のセキュリティレベル向上だけでは防げない脅威として、政府も企業に対して注意喚起を行っています。
またサプライチェーン攻撃は、大手企業から委託を受けている中小企業や、サプライチェーン内の調達や物流に携わる企業にとっても対処すべき重大な問題として注視されています。
サプライチェーン攻撃のリスクは年々高まっている
サイバー攻撃の手口は年々巧妙化しており、サプライチェーン攻撃もそのひとつ。大手企業のサプライチェーンの中の、セキュリティが脆弱な部分を攻撃して、間接的にターゲットのシステムに侵入して情報を狙います。
IPA(独立行政法人 情報処理推進機構)は、毎年発表している「情報セキュリティ10大脅威」の2024年版で、組織の情報セキュリティ10大脅威の2位に「サプライチェーンの弱点を悪用した攻撃」を位置づけています。
IPAは、この脅威は、標的となる組織内の対策のみで防ぐことは難しいため、取引先などの関係者を含むセキュリティ対策が求められると指摘。また、サプライチェーン内の企業にとっても、自社経由の攻撃が発生した場合に、取引停止や損害賠償請求などが発生するというリスクがあります。そのためサプライチェーン攻撃は、中小企業にとっても大きな脅威であると言えます。
サプライチェーン攻撃の手口
サプライチェーン攻撃の手口は、主に次の3つのパターンに分類できます。
| ソフトウェアサプライチェーン攻撃 |
|---|
企業が導入したIT機器やソフトウェアの開発元を狙う攻撃です。提供元に対して不正アクセスを行ったり、製造過程を狙ってソフトウェアやサービスにウィルスやマルウェアを仕掛けたりする方法です。標的組織がソフトウェアやサービスの利用を開始したタイミングや、バージョンアップ時にシステムに侵入し、ウィルスに感染させます。
| ビジネスサプライチェーン攻撃 |
|---|
ターゲットを含むサプライチェーン内の企業や、取引先、子会社などのシステムに侵入して標的を狙う手口です。標的に比べてセキュリティ対策が十分でない関連会社に対して、マルウェアを仕掛けたメールを送信したり、委託先を経由して標的のシステムにアクセスしたりして、情報を狙います。子会社や委託先のシステムに不正アクセスすることで、その組織が保有する、標的企業の機密情報を窃取する手口もあります。
| サービスサプライチェーン攻撃 |
|---|
サービスサプライチェーン攻撃とは、ウェブサービスを提供する事業者を経由して、ターゲット企業の情報を狙う方法です。ITシステムの保守などの担うMSP(マネージドサービスプロバイダ)事業者や、クラウドサービスを提供する会社を経由して、ターゲット企業のシステムに侵入します。そのサービスを利用する複数の顧客など、被害が広範囲に及ぶケースもあります。
サプライチェーン攻撃から身を守る方法
では、サプライチェーン攻撃から身を守り自社と取引先の情報漏えいを防ぐためには、どのような取り組みが有効なのでしょうか。主なセキュリティ対策は、以下のとおりです。
| 本人認証の強化 |
|---|
不正アクセスのリスク低減のため、本人認証の強化を実施しましょう。アクセス権限の確認や多要素認証の活用といったセキュリティ強化策のほか、パスワードの複雑化や不要なアカウントの削除などを行い、セキュリティレベルを高めましょう。
| セキュリティパッチによる脆弱性の解消 |
|---|
インターネットに接続する機器やOSを、サイバー攻撃から守る対策も重要です。アプリケーションやソフトウェアに、最新のファームウェアや更新プログラムなどのセキュリティパッチを迅速に適用しましょう。サイバー攻撃の起点となる脆弱性やリスクを早い段階で発見して、対策できる体制を整えます。
| ログの確認によるインシデントの早期対応 |
|---|
セキュリティ強化のため、端末やサーバーからログを収集・分析できる体制も構築しましょう。ログを適切に管理することで、インシデント発生時、アクセスログや操作ログから、原因の解析や影響範囲の特定が行えます。また早期対応によって、被害の拡大を防ぐこともできます。
| セキュリティに対する意識改革 |
|---|
社員のセキュリティに対する意識を向上する取り組みも重要です。自社のセキュリティポリシーやルールを策定し、全社に共有すると同時に、セキュリティ研修などを通して、メールの取り扱いや、インシデント発生時の連絡体制、対応策を周知しましょう。セキュリティに関する最新の情報のアップデートや、事故や対応策に関する事例共有のため、定期的に社員への周知の機会を設けることも重要です。
| データバックアップや回復手順の確認 |
|---|
インシデント発生時の緊急対応体制も整備しましょう。データ消去時に備えたバックアップ体制を構築した上で、復旧手順も確認して関係者に周知します。また、影響範囲を特定して被害拡大を防ぐ初動対応や再発防止策の検討のため、インシデントを検知した際の対応手順と、社内・社外との連携体制も確保しておきましょう。非常時のスムーズな対応のため、インシデント対応や業務復旧に関する演習プログラムを実施することも有効です。
| 取引先とのコミュニケーションの推進 |
|---|
サプライチェーンや取引先の間で、情報セキュリティに関するコミュニケーションを推進し、連携体制強化の取り組みも進めましょう。サプライチェーン内でのサイバー攻撃予防策や、自社の情報セキュリティの認証取得状況、インシデント発生時の連絡プロセスなどを、取引先と共有します。また、万が一の事態に備えて、取引先との間で、セキュリティに関する契約書を交わしておくことも重要です。
信頼される会社になるためセキュリティ対策を強化しよう!
サプライチェーンに組み込まれる企業には、取引先の情報に関する高い意識と、適切な情報セキュリティ対策が求められます。ルールの見直しや新しい取り組みなどが必要になるケースもありますが、サプライチェーン間の連携も含むセキュリティ強化は、取引先からの信頼獲得だけでなく、自社内の情報リスクの低減にもつながります。大切な情報資産と取引先とのビジネスを守るため、自社の情報セキュリティ体制を、一度、見直してみてはいかがでしょうか?
中小企業応援サイト 編集部 ( リコージャパン株式会社運営 )
