サプライチェーンの隙を狙うサイバー攻撃に警戒せよ
SecurityScorecardは2013年に米国ニューヨークで設立された企業であり、「SecurityScorecard Ratings」(以下、セキュリティレーティング)というサービスでセキュリティスコアリングを提供している。藤本氏は「外部から見たセキュリティ体制を成績表のような形で表現するサービスで、既にグローバルで1200万を超える企業に提供しています」と説明。日本でもサプライチェーンリスク管理の一環として導入が進んでいる。
日本企業のサプライチェーンリスクに対する関心は年々高まっており、実際にIPA(情報処理推進機構)が毎年公表している『情報セキュリティ10大脅威』では、「サプライチェーンの弱点を悪用した攻撃」が2019年に登場してから年々順位が浮上しており、最新の2024年版では昨年同様2位にランクインした。
また、経済産業省が公表している『サイバーセキュリティ経営ガイドライン Ver 3.0』では、経営者が認識すべき3原則として「サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策の目配りが必要」と明記されている。加えて、重要10項目の指示9では「ビジネスパートナーや委託先を含めたサプライチェーン全体の状況把握及び対策」とも記載された。
これほどまでに自社だけでなく、サプライチェーン全体に目を配る必要性が高まっている背景には、取引先などを狙ったサイバー攻撃が多発している現状がある。大手企業ではサイバーセキュリティ対策が進んでいるのに対して、周辺の取引先は対策が十分に行き届いていない。そこで攻撃者たちは大手企業に連なる周辺企業を足掛かりにするが、もし侵入を許してしまったならば、その影響は甚大だ。たとえば、2022年に大手自動車メーカーのサプライヤー企業がサイバー攻撃を受けたことが発端で、メーカーの製造ラインが数時間にわたり停止。これを受けて、事故翌月には経済産業省や総務省、警察庁をはじめとした関係7省庁から注意喚起が発信された。
セキュリティインシデントが多発する中、SecurityScorecardでは『Global Third-Party Cybersecurity Breaches』というサイバーセキュリティ侵害に関するレポートを発表している。日本ではサードパーティーに端を発した攻撃が特に多いと指摘されているとして、「なぜ日本でサードパーティー製品によるサイバー侵害が突出しているのか、追加のレポートで解説予定です」と藤本氏は話す。
サイバー攻撃リスクをランクとスコアで評価
こうした背景からサプライチェーンリスク管理を徹底する動きが広がっており、多くの企業がセキュリティガイドラインを策定し、取引先にもガイドラインに準拠するよう促している。とはいえ、実際に準拠しているかどうかはアンケートで確認することが多く、心もとない状況だ。
実際にガイドラインへの準拠を確認している現場は、「(取引先の)セキュリティ態勢は聞いてみないと把握できない」「把握する機会が年や四半期に1度でリアルタイムに把握できない」ともどかしさを抱えているという。とはいえ、リアルタイム性を求めて頻度を高めてしまうと回答側の負担になり、下手をすれば形骸化のリスクもある。また、アンケート調査では回答者の主観が入るため、実態に即しているとは限らない。藤本氏は「サプライチェーンリスク管理では、ステークホルダー間でリアルタイムかつ継続的に、実態に即した内容でコミュニケーションをとるための共通言語がないことが課題です」と指摘する。
そこで役立つのがセキュリティリスクの評価サービスであり、SecurityScorecardではセキュリティレーティングを提供している。冒頭に述べたように、これはセキュリティ対策状況の成績表のようなものだ。サイバーキルチェーンの情報収集(初期偵察)フェーズにフォーカスしてIPv4空間全体をスキャン、攻撃者視点でリスク要素を非侵入・非破壊的に収集。そこからサイバー攻撃による侵害の可能性との相関関係がA~D/Fのランク、100点満点のスコアで評価される。
「攻撃者たちがサイバー攻撃に利用する手口を200項目ほど調査し、10個のカテゴリーに分類・評価することで総合評価をスコアとして出しています」(藤本氏)
セキュリティレーティングで最低位のF評価を受けた企業は、最高位のA評価と比べると7.7倍もサイバー攻撃を受ける可能性が高いという統計結果が出ており、「直近の統計結果では7.7倍が13倍にまで広がっています」と藤本氏は説明する。
では、なぜさまざまな企業を評価付けできるのか、調査の仕組みはこうだ。まずは世界80ヵ所以上に設置した独自のセンサーから空いているポート、起動しているサービス、脆弱性情報などを取得。それと同時に組織ごとのドメイン登録情報から関連するIPや資産を紐付け、攻撃者が注目する問題がないかをピックアップする。ここには機械学習を活用しており、類似する規模の企業と比較したスコアを算出する。
取引先のサイバー攻撃リスクを客観的かつリアルタイムに把握
現在、グローバルで1200万社以上がセキュリティレーティングを利用している中、自社のセキュリティリスクだけではなく、グループ企業や取引先にも対象が広がってきた。また、競合企業との比較や企業買収時のサイバーデューデリジェンスにも活用されているという。
藤本氏は「2023年前半までは自社のデジタルアセットを把握し、どこに問題があるのかを確認するなど、自社の安全を保つために使われていました。しかし、2023年半ばからはグループ企業や取引先を含めたサプライチェーンリスク管理に活用されることが非常に増えてきました」と話す。
実際に管理すべき企業情報を一覧できる画面(下図)では、企業群のランクがどのように分布しているか、最も懸念される企業はどこか、クリティカルな問題はどういったものか、どのくらい検出されているかなどを俯瞰できる。こうしたスコアを継続的に調査していると自社のサプライチェーンに連なる企業が改善傾向にあるのか、それとも下落傾向にあるのかも把握できるだろう。
このようにセキュリティレーティングを用いて、調査対象組織のドメインを登録するだけで継続的にリスクを把握できる。これまでのようにグループ企業や取引先へのアンケートではなく、より客観的な状況をリアルタイムかつ継続的に把握できる点は大きなアドバンテージだ。
なお、フォレスター社の調査では、同サービスはサイバーセキュリティリスク評価プラットフォームのなかでリーダーポジションとして最も高い評価を受けているという。これまでは大企業、特にサプライチェーンの上流にある企業における導入が多かったが、中堅企業での導入も広がってきている。
また、サイバーセキュリティの格付けを行う組織でも活用されている。たとえば、日本IT団体連盟は日経平均の構成銘柄500社を対象に「サイバーインデックス企業調査」を毎年実施しているが、これまでは公開情報やアンケートから調査結果を公表していた。しかし、前々回から診断ツール調査としてセキュリティレーティングを利用している。なお、このサイバーインデックス企業調査で最高格付け「☆☆(二つ星)」を獲得した14社のうち、8社が既にセキュリティレーティングを導入済みだ。
セキュリティレーティングを使うと、自社だけではなく関連企業のセキュリティリスクも評価できるようになり、サプライチェーンリスク管理に大きく寄与する。藤本氏によると、もし取引先企業のスコアが悪いことが発覚したら「外部調査ではこういう風に見えているので、実際にそのような問題があるか確認してほしい」とセキュリティレーティングの調査結果をエビデンスとして活用することを勧める。
「取引先などとのコミュニケーションにも活用することで、サプライチェーン全体のリスク対策の底上げを実現できます。立場の異なるステークホルダー間のサイバーセキュリティリスク管理における共通言語として、ぜひご活用いただければ」と述べて講演を締めくくった。
無料で自社グループ/取引先のセキュリティリスクを評価してみませんか?
セキュリティレーティングの調査結果をエビデンスとして活用することで、サイバーセキュリティのリスクをコントロールし、客観的な情報に基づく意思決定を行うことができます。無料アカウントの作成はこちらから