重要視の理由(1)サプライチェーン攻撃による被害の増加
サプライチェーンセキュリティが重要視される一つの大きな理由は、まず、サプライチェーン攻撃が活発化し、企業活動に大きな被害をもたらしていることが挙げられます。昨今のビジネス環境では、自社組織のみでビジネスが完結することはないと言ってよいでしょう。
たとえばEコマースビジネスを展開する会社をA社とします。ここでA社はWebシステムをクラウド上に構築し、クレジットカードによる決済処理を外部専門ベンダーに連携する仕組みとしており、実際に販売したものを顧客に届ける際には、物流会社に依頼しています。このうちのいずれかの委託先が機能しなくなった時点で、Eコマースビジネスは停止します。サイバー攻撃者がA社に嫌がらせをしようと思えば、A社そのものではなく委託先に攻撃しても目的を達成します。
サプライチェーン攻撃とは、厳密にいえば具体的な攻撃手法ではなく、サプライチェーンを経由してのサイバー攻撃をまとめた総称のことです。サプライチェーンというさまざまな組織が絡むなかで、弱い部分を狙うことが常道のサイバー攻撃者にとって、とても都合のよい状況といえます。
自社組織がサイバー攻撃に対する防御対策を確実に行っていたとしても、委託先やクラウド事業者などを侵入の足掛かりとして攻撃してきます。自社組織のみを守ればよいという考えはもはや古いものとなっています。その証左が、次表に示すサプライチェーンを経由しての攻撃被害です。
IPA(情報処理推進機構)が毎年公開する情報セキュリティ10大脅威では、過去3年、サプライチェーン攻撃被害が順位を上げており、サプライチェーンセキュリティの脅威が増加していることがみてとれます。
