「内部は安全」がキケン！　リモートスタンダードになりつつある今こそ「ゼロトラスト」を

サプライチェーン攻撃で被る不利益

　これまで紹介してきたように、外部の悪意ある第三者からの攻撃、その脅威はなにも大手の有名企業や官公庁などに限ったことではない。

　たとえば、ターゲットとなる組織の関連会社や取引先などを経由して標的へ不正に侵入するサプライチェーン攻撃。これは生産ラインの停止など妨害行為や、サプライチェーン内にある重要情報の窃取、そして製品へのバックドアや脆弱性などの挿入によって、製品が広く利用されるようになってからの不正アクセスの攻撃など、実に様々な目的で様々な攻撃手法が用いられる。これらは、現代において多くの「商品」を生産し顧客に提供するために「様々な組織、人、プロセスが関わっている」という前提を踏まえ、その中で脆弱な部分をターゲットに攻撃を仕掛けるものだ。

　ハード／ソフトいずれにしても、こうしたサプライチェーンの一角を担っている多くの中小企業にとってこれは他人事ではなく、きちんと対策をとっていなければ当然ながらターゲットとされる可能性がある。

　IPA『中小企業の情報セキュリティガイドライン第3版』（PDF）によると、まず有事の際に組織が被るであろう主な不利益は、大きく分けて4種類が挙げられる。

1. 金銭の損失：金銭の損失には、クレジットカード情報の不正利用や偽サイトへの不正送金、それらにともなう自社業務の停滞、そして事故被害者（情報流出の対象者など）からの損害賠償請求対応などが挙げられる
2. 顧客の喪失：原因や理由はどうであれ、セキュリティ事故を発生させた企業・組織は管理責任を問われ、社会的な信用は失墜する。それにともなって、多くの顧客は事故を起こしていない同業他社を利用するようになり、結果として顧客を失ってしまうのはごく自然な流れといえる
3. 業務の停滞：セキュリティ事故が発生すると、組織内ネットワークやサーバなどの停止、インターネットへの接続停止などが行われる。この状態が続くと、内部システムや電子メールが使えなくなるなど社内の各種業務が停滞するのはもちろん、外部からは営業停止と同じ状態となり営業機会の喪失へとつながる
4. 従業員への影響：従業員への影響で多いのは、セキュリティ事故を起こした際に「現場の責任」と断じて従業員のみを罰し、経営者は責任を取らないような対応をとってしまうことだ。結果として従業員全体の組織への帰属意識や求心力が低下し、労働意欲を失ったり、その組織のイメージダウンを嫌って転職する従業員が増えたり、といったリスクが生じる。また従業員の個人情報が流出するなど適切な保護がなされず、従業員から訴訟を起こされる可能性もある

　そして経営者にも、管理義務がある情報を適切に管理していなかった場合には刑事罰その他の責任を問われ（法的責任）、また流出した情報の提供者や顧客、従業員などの関係者に対する損失の損害賠償責任のみならず、取引先や関係者などとの信頼関係や業界全体のイメージ低下などの責任（社会的責任）も問われることになる。

単一ではない「多層防御」による対策

　こうした事故を予防するための対策として現在よく挙げられているのは、以前も触れたが「多層防御」である。改めてこれは、内部ネットワークとの境界を守るセキュリティの考え方と説明されることが多いと思う。内部ネットワークとの入口（侵入対策）や出口（情報持ち出しなどへの対策）、内部（不正アクセスの拡散対策）へのセキュリティ対策を兼ねる。単純なゲートウェイ部分のファイアウォールだけでなくID管理やVPN脆弱性対策、ログ監視など単一では対応できない様々な脅威への対策、そして特定のセキュリティ制御が仮に突破された場合に他の制御でリスクを低減する対策を重ねることで、脅威から守ろうという話をよくされている。

　多層防御を行うためによく言われる方法論は、以下あたりだろうか。

• 脆弱性管理：利用している機器やシステム、ソフトウェア等を常に最新の状態にアップデートする、FWやフィルタリング、不正アクセスの検知や防御を行うツール等の導入から運用でセキュリティ脅威の侵入を防ぐ
• アクセス制御：重要な情報には外部から簡単にアクセスできる状況や、内部からなら誰でもアクセスできる状況を生じないようファイルへのアクセス制限や暗号化、アクセスログ監視やネットワーク分離などによって重要情報へのアクセスを制御する
• 監視や対策を迅速かつ確実に行う専門組織（CSIRTや情報セキュリティ委員会、SOCなど）を設置し、情報収集やトリアージ、社内への情報発信など適切なセキュリティ管理を行う

　またセキュリティ対策としては、

• ネットワーク対策：ポート制御やフィルタリング、不要な通信の遮断、ログ取得と管理、社内機器やソフトウェア等の脆弱性管理など
• Webサーバ管理：OSやミドルウェア等の脆弱性管理やサポート状況の確認（バージョン管理含む）、不要なサーバやアプリ等の制御、SQLインジェクションなど主要な攻撃手法への対策管理、SSL証明書管理、不正通信の検知や遮断、定期的な脆弱性診断など
• 組織のセキュリティ対策：自社と委託先のセキュリティ体制の構築、基本的な自社PC端末管理対策、インシデント発生時の対応準備リストやガイドライン等の作成、緊急時対応体制の構築、定期的な教育や訓練の実施、外部監査や定期的な運用状況見直しなど

あたりがよく挙げられるだろう。

　これらは実に重要な事項であることは間違いない。しかしこれらの実施よりも先に考えるべき、すべきことがあるのではないだろうか。