SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

サイバーセキュリティの新標準 NIST SP800-171

【NIST SP800-171 解説】サプライチェーンセキュリティが重要視される理由

【第1回】 第1章(基礎編1)

 本連載ではセキュリティコンサルタントの内海良氏がサプライチェーンの新標準である「NIST SP800-171」を詳しく解説していきます。第一回目は、サプライチェーンセキュリティの背景に触れ、NIST SP800-171(以降、特記以外は「171」)の持つ意義を解説していきます。サプライチェーンセキュリティが重要視される背景は複数あり、これらを理解することで、「171」が注目される理由が明らかになると考えます。

重要視の理由(1)サプライチェーン攻撃による被害の増加

 サプライチェーンセキュリティが重要視される一つの大きな理由は、まず、サプライチェーン攻撃が活発化し、企業活動に大きな被害をもたらしていることが挙げられます。昨今のビジネス環境では、自社組織のみでビジネスが完結することはないと言ってよいでしょう。

 たとえばEコマースビジネスを展開する会社をA社とします。ここでA社はWebシステムをクラウド上に構築し、クレジットカードによる決済処理を外部専門ベンダーに連携する仕組みとしており、実際に販売したものを顧客に届ける際には、物流会社に依頼しています。このうちのいずれかの委託先が機能しなくなった時点で、Eコマースビジネスは停止します。サイバー攻撃者がA社に嫌がらせをしようと思えば、A社そのものではなく委託先に攻撃しても目的を達成します。

 サプライチェーン攻撃とは、厳密にいえば具体的な攻撃手法ではなく、サプライチェーンを経由してのサイバー攻撃をまとめた総称のことです。サプライチェーンというさまざまな組織が絡むなかで、弱い部分を狙うことが常道のサイバー攻撃者にとって、とても都合のよい状況といえます。

 自社組織がサイバー攻撃に対する防御対策を確実に行っていたとしても、委託先やクラウド事業者などを侵入の足掛かりとして攻撃してきます。自社組織のみを守ればよいという考えはもはや古いものとなっています。その証左が、次表に示すサプライチェーンを経由しての攻撃被害です。

表1-1 活発化するサプライチェーン攻撃
表1-1 活発化するサプライチェーン攻撃 [画像クリックで拡大]

 IPA(情報処理推進機構)が毎年公開する情報セキュリティ10大脅威では、過去3年、サプライチェーン攻撃被害が順位を上げており、サプライチェーンセキュリティの脅威が増加していることがみてとれます。

表1-2 過去3年間のIPA重大セキュリティ脅威
表1-2 過去3年間のIPA重大セキュリティ脅威 出典:情報処理推進機構(IPA) [画像クリックで拡大]

次のページ
重要視の理由(2)経済安全保障としてのサイバーセキュリティ

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
サイバーセキュリティの新標準 NIST SP800-171連載記事一覧

もっと読む

この記事の著者

内海 良(ニュートン・コンサルティング)(ウチミ リョウ)

ニュートン・コンサルティング株式会社 執行役員兼プリンシパルコンサルタント。   
日本でのシステム開発務経験を経て、2004年に渡英。弊社ロンドン法人にてSE 部門、コールセンター部門、セキュリティコンサルティング部門、営業部門のマネージャを歴任。欧州を舞台にその高いスキルを活かしてセキュリティコンサル...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19312 2024/03/18 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング