セキュリティ対策の弱い拠点が“攻撃の踏み台”に
サイバー攻撃の中でも、近年特に懸念が高まっているのがサプライチェーン攻撃だ。とはいえ、これは決して新しい兆候ではなく、以前から警戒が必要だと言われてきたと平子氏は指摘。実際、情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」にサプライチェーン攻撃が登場したのは2019年。この年以降、常に脅威の上位に位置している。
サプライチェーン攻撃には主に3つの種類がある。まず、「ソフトウェア・サプライチェーン攻撃」。これは、ソフトウェアの部品を改ざんしたり、マルウェアを仕込んだりすることで、その製品がリリースされた際に一気に感染を広げる手法を指す。次に、「サービス・サプライチェーン攻撃」がある。これは、クラウドサービスなどの共通基盤が侵害されることで、そのサービスを利用するすべての組織に影響を与えるもの。最後に、「ビジネス・サプライチェーンリスク」。これは、取引先やグループ会社などから侵入され、自組織も被害を受けるリスクを指す。
なかでも昨今目立っているのがビジネス・サプライチェーンリスクだと平子氏。これは、取り引きのある中小企業や海外拠点を狙った脅威だ。中小企業や海外拠点におけるセキュリティの成熟度が低い傾向にあることが要因として挙げられる。攻撃者はセキュリティの弱い拠点を狙い、そこを踏み台として本社など重要な場所への侵入を試みるとして、「無理やりドアをこじ開けるのではなく、“空いている”ドアを狙うのです」と平子氏。
セキュリティレベルの低い海外拠点から被害が拡大した場合、原因究明や対策に時間がかかり、業務停止期間が長期化する傾向もある。トレンドマイクロの調査によると、サイバー攻撃による被害額の平均は1億円以上となっており、中には10億円を超えるケースもあった。こうした状況からも、セキュリティ対策がビジネスの重要な要件となっていることは明白である。
【画像クリックで拡大】
サプライチェーンの特性を示す「セキュリティの樽」
こうしたサプライチェーンへの対策について、平子氏は「セキュリティの樽」という概念を用いて特性を説明する。樽は、長細い板を並べて束ねた構造になっているが、この形状をサプライチェーンにたとえたとき、そこに溜められる水の量がセキュリティレベルだと説明。樽を構成する板がサプライヤーや取引先、グループ会社を示し、板の長さがそれぞれのセキュリティレベルと表現できる。
つまり、セキュリティレベルは一番低いところが基準となるため、各社が「短い板」にならないような対策が必要ということだ。また、サプライチェーン全体を統括する立場からは、セキュリティ監査や対策状況の確認を行い、全体のセキュリティレベルを底上げする(=板の長さを管理する)必要がある。
このように、サプライチェーン全体のリスクマネジメントが重要だが、特に中小企業では対策が十分でない場合が多いと平子氏は指摘。中小企業は人材不足などが原因となり、サイバー攻撃対策まで手が回っていないことも少なくない。刻一刻と変化するサイバー攻撃や自社の脆弱性対策、デジタル資産の増加・変化などに対応するためには、自動化技術やリスクの定量化が必要だという。グローバル共通の基準を用いて、サプライチェーンを構成する拠点のリスクを統一的に評価し、セキュリティレベルを向上させることが求められるのだ。インシデントが発生したときに初めてセキュリティを考えるのではなく、平時からリスクを把握して対策することが重要だと平子氏は話す。
