本連載ではセキュリティコンサルタントの内海良氏がサプライチェーンの新標準である「NIST SP800-171」を詳しく解説していきます。第一回目は、サプライチェーンセキュリティの背景に触れ、NIST SP800-171(以降、特記以外は「171」)の持つ意義を解説していきます。サプライチェーンセキュリティが重要視される背景は複数あり、これらを理解することで、「171」が注目される理由が明らかになると考えます。
重要視の理由(1)サプライチェーン攻撃による被害の増加
サプライチェーンセキュリティが重要視される一つの大きな理由は、まず、サプライチェーン攻撃が活発化し、企業活動に大きな被害をもたらしていることが挙げられます。昨今のビジネス環境では、自社組織のみでビジネスが完結することはないと言ってよいでしょう。
たとえばEコマースビジネスを展開する会社をA社とします。ここでA社はWebシステムをクラウド上に構築し、クレジットカードによる決済処理を外部専門ベンダーに連携する仕組みとしており、実際に販売したものを顧客に届ける際には、物流会社に依頼しています。このうちのいずれかの委託先が機能しなくなった時点で、Eコマースビジネスは停止します。サイバー攻撃者がA社に嫌がらせをしようと思えば、A社そのものではなく委託先に攻撃しても目的を達成します。
サプライチェーン攻撃とは、厳密にいえば具体的な攻撃手法ではなく、サプライチェーンを経由してのサイバー攻撃をまとめた総称のことです。サプライチェーンというさまざまな組織が絡むなかで、弱い部分を狙うことが常道のサイバー攻撃者にとって、とても都合のよい状況といえます。
自社組織がサイバー攻撃に対する防御対策を確実に行っていたとしても、委託先やクラウド事業者などを侵入の足掛かりとして攻撃してきます。自社組織のみを守ればよいという考えはもはや古いものとなっています。その証左が、次表に示すサプライチェーンを経由しての攻撃被害です。
IPA(情報処理推進機構)が毎年公開する情報セキュリティ10大脅威では、過去3年、サプライチェーン攻撃被害が順位を上げており、サプライチェーンセキュリティの脅威が増加していることがみてとれます。
この記事は参考になりましたか?
- サイバーセキュリティの新標準 NIST SP800-171連載記事一覧
-
- 【NIST SP800-171 解説】NIST SP800-171の 概要とポイント
- 【NIST SP800-171 解説】サプライチェーンセキュリティに有効な「171」
- 【NIST SP800-171 解説】サプライチェーンセキュリティが重要視される理由
- この記事の著者
-
内海 良(ニュートン・コンサルティング)(ウチミ リョウ)
ニュートン・コンサルティング株式会社 執行役員兼プリンシパルコンサルタント。
日本でのシステム開発務経験を経て、2004年に渡英。弊社ロンドン法人にてSE 部門、コールセンター部門、セキュリティコンサルティング部門、営業部門のマネージャを歴任。欧州を舞台にその高いスキルを活かしてセキュリティコンサル...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
