多様化するサプライチェーン攻撃
「一口に『サプライチェーン攻撃』と言っても、昨今では複数のタイプがあり、それぞれが思い描く攻撃イメージが異なる可能性がある」と内海氏は指摘する。JPCERTコーディネーションセンターの資料を参考に、内海氏は以下の3つでサプライチェーン攻撃を整理する。
物理被害サプライチェーン攻撃
ターゲットになる企業の関連企業や取引先が直接的な攻撃を受け、部品供給などが滞るなど、物理的な被害が発生するものを指す。サプライチェーンの1次取引企業だけでなく、2次取引企業が攻撃されると部品供給が困難になる。その結果、川下のメーカーの製造中止を余儀なくされる複数の例が報告されている。2022年3月に起きたトヨタ取引先の小島プレス工業へのランサムウェア攻撃は、記憶に新しいところだ。
ソフトウェアサプライチェーン攻撃
ソフトウェアベンダーやマネージドサービスプロバイダーが提供するシステムに、マルウェアやバックドアが混入し、サービスユーザーやアプリケーション利用企業にまで被害が及ぶようなものを指す。OSSのモジュールに脆弱性があり、そこを攻撃される例が見られるようになってきた。たとえば2020年12月に起きたSolarWindsへの攻撃では、同社の製品にバックドアが混入し、18,000社の顧客が影響を受けた。
アイランドホップ攻撃
ターゲットになる企業の関連企業や取引先を複数攻撃し、いくつかの経路から段階的にターゲットへの攻撃を行う方法を指す。標的はターゲット企業が持つ重要な情報のこともあれば、その下請けの関連企業が持つ重要情報のこともある。これに該当するのが、2020年7月の米Kaseyaへの攻撃である。同社製品の脆弱性を突かれ、ランサムウェアの拡散に利用されてしまった。
このようにサプライチェーン攻撃には複数の種類があるが、「日本と海外で毛色の違いがあるように思う」と内海氏は続ける。海外ではソフトウェアサプライチェーン攻撃が中心で、攻撃テクニックにも様々なものがあるが、ターゲットになる資産がソフトウェアであるケースが多いという。具体的には、先行的に公開されているソフトウェアやライブラリーである。世の中のソフトウェアの99%がオープンソースソフトウェアのコードを利用しているとの指摘もあり、その関係でSBOM(Software Bill Of Materials:ソフトウェア部品表)を公開するべきという意見も聞かれる。
サプライチェーンセキュリティの必要性
サプライチェーン攻撃に関するニュースが増えている。IPAが毎年発表している10大脅威の中でも、ここ数年、サプライチェーン攻撃は常に上位に位置するという。多発するサプライチェーン攻撃にどう対処すればいいのか。
さらに、昨今の世界情勢が対応を急がせる要因になっている。キーワードは「経済安全保障」。2022年5月に成立した経済安全保障推進法は、「1. 供給網の強化」「2. インフラの安全確保」「3. 先端技術の官民協力」「4. 特許の非公開」の4つの柱で基本政策を立案し、2年以内の施行を目指す方向性が決定している。
まず、1番の「供給網」とはサプライチェーンのことである。その途絶の発生で、国民生活や経済活動に甚大な影響を及ぼす恐れのある物資を「特定重要物資」として指定し、その安定供給のための財政支援を行う方向である。2番については、14業種を対象に安全保障上の脅威になりうる外国製品が入らないような仕組みづくりを目指す。3番は、AIや量子テクノロジーのように、軍事転用の可能性のあるものの保護を強化する。4番は安全保障と関連する特許情報については海外に漏洩しないようにするなどだ。
内海氏によると、国内サイバーセキュリティ戦略でも、経済安全保障の観点を強く意識する傾向が顕著だという。内閣サイバーセキュリティセンター(NISC)のサイバーセキュリティ戦略をよく読むと、「サプライチェーン」という言葉が頻出する。セキュリティリーダーには、自組織を守るだけでなく、取引先を含めたサプライチェーン全体を守るという考え方への転換が求められるようになってきた。
また、防衛省が2022年4月に発表した新しい調達基準は、現行のものよりも厳格なものになった。2023年度から適用開始となるこの新基準では、米国防省の調達基準と同じ「NIST SP800-171」への準拠が求められることになった。米国政府が採用するクラウドのセキュリティ認証制度「FedRAMP」が、日本で「ISMAP」として制度化されたように、今後の日本政府の調達基準も“日本版NIST SP800-171”として制度化される可能性は高い。経済安全保障の文脈で、大企業のセキュリティリーダーには、サプライチェーン全体で制度に即した対策ができるかが問われている。
もう1つ、米国政府の動向で重要なのが、連邦政府が利用するソフトウェアベンダーへのSBOM開示を義務付ける大統領令が2021年5月に発令されたことだ。日本政府への影響波及を見越して、SBOM開示への対応の準備を進める必要も出てきそうだ。
NIST SP800-171を読み解いてわかったポイント
NIST(National Institute of Standards and Technology:米国立標準技術研究所)が提示するガイドライン「NIST SP800-171(以下、171ガイドライン)」が求める対策とはどのようなものか。
171ガイドラインは、企業単体ではなく、サプライチェーン全体で実施すべきセキュリティ要件を、14分類、110のセキュリティ要件でまとめたものである。内海氏は14分類を「組織・スキル」「ルール・プロセス」「テクノロジー」「物理セキュリティ」の4つに分類。分類に即してシステム共通に考えるべきことと個別に考えるべきことに分けて整理することを勧めた。
171ガイドラインへの対応は「CUI(Controlled Unclassified Information)の定義・可視化」「現状分析・評価(As-IsとTo-Beの明確化)」「対応推進計画の策定」「実装」「運用」「モニタリング・改善」の順で進める。このプロセスは継続的なものであり、モニタリング中に問題が見つかった場合は、最初の「CUIの定義・可視化」に戻り、対応推進計画を見直し、実装へと進めていく。「これから取り組む企業にとって最初のチャレンジは、CUIの定義と現状分析になる」と内海氏はみている。
CUIの保護が重視されるようになったのは、極秘情報や機密情報とは異なり、広範囲に集めると機密を特定しうる可能性があるためだ。米国の場合、その特定方法は調達形態に応じて大きく2つに分かれる。まず、連邦政府と直接的に取引を行う事業者の場合は、連邦政府の方針を基にNARA(National Archives and Records Administration:国立公文書記録管理局)のCUIレジストリーを参照しつつ、契約元の政府機関と協議しながらCUIを定義する。これには該当しないが、連邦政府と間接的に取引を行うことになる事業者の場合は、政府あるいは国防省と直接契約する事業者が、発注者として、開発や生産を委託する請負事業者に対しCUIを指示、伝達しなくてはならない。
米国政府調達サプライチェーンの構成企業であれば、日本企業もこの171ガイドラインに即した対応が必要だ。CUIレジストリーは、組織インデックスグループごとに安全保障や経済に影響を及ぼす情報を分類するために「CUIカテゴリー」を提示している。たとえば、「重要インフラ」に該当する組織インデックスグループであれば、CUIカテゴリーとして、テロ攻撃に使われる硫酸アンモニウムなどに混じり、サイバー攻撃の対象になる情報システムの脆弱性情報が指定されている。このCUIレジストリーを参照しながら、サービスごとにCUI、ビジネスプロセス、システム拠点、CUI保管場所、接続ネットワーク、認証形式などを整理する作業を進めることが必要になる。
CUIの特定と対応
次の「現状分析・評価」を行うにも、171ガイドラインの内容を読み込まないといけない。内海氏は「171に関連する他のガイドラインもあわせて読む必要がある」と話した。場合によっては、専門家の判断を仰ぐことも必要になる。内海氏が挙げた対応に際して、特に重要になる観点が「システム境界」と「暗号化」の2つである。
システム境界
CUIを特定したら、その保管場所であるシステムに境界を設置しなくてはならない。機密情報に関しては、これまでも特定のセグメントを作って管理する対応を実施してきたことであろう。171ガイドラインでは、CUIの管理をこれまで以上に厳格に行うことを求めている。境界を分けることは、入口と出口の監視の強化と認証の強化も必要になることを意味する。対象のシステムのID管理では、多要素認証を使うことが求められる。
暗号化
CUIを保護するには、モバイルデバイスまたはモバイルプラットフォーム上のCUIの暗号化を実施しなくてはならない。さらに伝送中のCUIの傍受や改変リスクに対応するため、171ガイドラインはCUIそのものの暗号化だけでなく、通信にも暗号メカニズムの実装を要求している。具体的には、FIPS認証の暗号技術を採用することだ。データセンターの中は暗号化の必要はないが、自組織のコントロール外となるインターネット空間の通信では暗号化が必要になることは要注意である。アルゴリズムの選択でも現在の主流は128ビット以上だが、2031年以降を見据えると256ビットのアルゴリズムを採用する必要が出てくる。また、ストレージの暗号化も、対応できる脅威に合わせてどの防御範囲で暗号化を実施するのかを検討しなくてはならない。
ここまで見てきた通り、これからのサプライチェーンセキュリティには、より厳格な管理が求められることが確実だ。これまでがNDA(秘密保持契約)やセキュリティ調査票を中心にしたものだったとすると、これからはプラスアルファで契約書の中にセキュリティ施策の条項を追加し、それに合意しなくてはならなくなる。
サプライチェーンセキュリティ評価ツールによる非侵入型の検査も必要になるだろう。ツールの選択肢も増えてきた。中には「SecurityScorecard」のように日本語対応のものもある。
サプライチェーンセキュリティが重視されるようになった背景を理解し、171ガイドラインの制度化に備え、積極的に対応の備えをする姿勢がセキュリティリーダーには求められている。
NIST SP800-171に基づくセキュリティ構築をご支援します
ニュートン・コンサルティングでは、NIST SP800-171への準拠に向けたセキュリティ構築に向け、ギャップ分析から対策の導入までをご支援しています。CUIの定義/可視化から現状分析/評価、推進計画の作成、具体的なセキュリティ対策の実装まで対応します。詳細はニュートン・コンサルティングHPをご覧ください。