サプライチェーンセキュリティに対処するために必要な心構え
サプライチェーンセキュリティを検討する際、多くの企業・組織はいわゆる「境界防御」に注力しがちだが、西川氏はその限界を指摘する。
「たとえばメールを用いた攻撃の場合、境界だけをちゃんと守っていれば大丈夫とは言えません。メールはビジネスにとって必要不可欠なツールであり、その経路を境界防御で完全に塞いでしまうことは困難ですから、ユーザーはどうしてもメール経由の脅威にさらされ続けることになります」(西川氏)
また同氏は、「近年ますますサイバー攻撃が多様化している状況も考慮する必要がある」と述べる。攻撃する側が用いる技術も、守る側が守るべき対象も極めて多様化しているため、サプライチェーン全体を網羅したセキュリティ対策を講じることは年々難しくなってきているのだ。
ちなみに、情報処理推進機構(IPA)が2025年1月に発表した「情報セキュリティ10大脅威 2025」では、「サプライチェーンや委託先を狙った攻撃」が2位にランクインしている。これを見て、「やはりサプライチェーン攻撃の脅威は高いんだな」と短絡的にとらえるだけでは、真のリスクを見落とす危険性があると同氏は指摘した。
「たとえば、4位の『内部不正による情報漏えい等』や9位の『ビジネスメール詐欺』、10位の『不注意による情報漏えい等』などは、一見するとそれぞれが独立した脅威に見えますが、実際には互いに密接に絡み合っており、サプライチェーンセキュリティにとっても重要なファクターになり得ます。したがって、サプライチェーン攻撃の脅威に対応するためには、様々な攻撃の間に存在する関連性を見出して、バランスよく取り組んでいく必要があります」(西川氏)
サービスプロダクト推進本部 営業推進部 セキュリティソリューション課 西川礁太氏
見落としがちな「人の脆弱性」もバランスよく対処を
西川氏は近年注目すべきセキュリティ脅威の一例として、「サポート詐欺」と「RDP構成ファイルによるフィッシング攻撃」の2つを挙げる。
サポート詐欺は、インターネット閲覧中に突然偽のエラー画面や警告音でユーザーの不安を煽り、サポート窓口を装った電話番号に連絡させて遠隔操作ソフトのインストールなどに誘導する侵入手法だ。このときにダウンロードされるソフトそのものは正規のリモート管理ソフトウェアである場合が多く、アンチウイルスなどで検知できないものも多いため近年被害が多発しているという。
もう一つの事例は、2024年に米国のCISA(Cybersecurity and Infrastructure Security Agency)が注意喚起した「RDP構成ファイルによるフィッシング攻撃」だ。攻撃者は「.rdp」という拡張子が付いたRDP構成ファイルをフィッシングメールに添付してばら撒き、これを受信したユーザーがファイルを開くと攻撃者のサーバーへ自動的に接続され、端末情報が窃取されたりマルウェアがダウンロード・展開されたりしてしまう。
この脅威の要因を紐解いてみると、実は2種類の脆弱性が存在することが分かる。1つ目は、.rdpという拡張子が付いた不審なファイルがユーザーのメールボックスに届いてしまい、かつそれを実行できてしまう環境に関する脆弱性、つまり「技術の脆弱性」だ。そしてもう1つの脆弱性が、.rdpという拡張子が付いた不審なファイルを、ユーザーがやすやすと開いて実行してしまうという人の行為そのもの、つまり「人の脆弱性」だ。
このように多くのセキュリティ脅威には、「技術の脆弱性」と「人の脆弱性」の2つの側面がある。では、一体どちらの対策を優先させるべきなのか。西川氏は「答えは極めてシンプルで、両方にバランスよく対処していく必要があります」と指摘する。
「技術の脆弱性に対処するために不審なファイルをブロックする仕組みを導入すれば、一時的にはリスクを回避できますが、将来別の種類のファイルを使った攻撃を受けた際に柔軟に対処できません。一方、不審なファイルを開かないようユーザーに教育を施して人の脆弱性に対処しても、年々巧妙化するフィッシングメールをユーザーが100%ブロックできる保証はありません。よって、常に両方の脆弱性に対処していくことが必要なのです」(西川氏)
具体的な対策をアプローチ別に「4象限」に分類して解説
脆弱性に対処するための具体的な方策についても、“技術”と“人”のそれぞれの観点からのアプローチが考えられる。たとえばセキュリティ製品や各種ツールを導入するといった「技術面からのアプローチ」がある一方、ユーザーに対してリテラシー教育を施したり最新の攻撃手法に関する情報を収集・周知したりといった「人の面からのアプローチ」も存在する。
そのため、脆弱性とそれに対する対策アプローチには、以下の4種類の組み合わせが存在する。
1. 技術の脆弱性に対して技術の観点からアプローチする
たとえばマルウェアに関する技術的な脆弱性に対して、アンチウイルスのような対策技術を導入することで脅威に対処していく。これは最も一般的で多くの技術者にとってイメージしやすい領域だが、それだけに「製品を導入すれば安心」という油断が生じやすい領域でもある。そのため西川氏は、「視野を広げて対処することが重要」と説く。
「たとえばフィッシングメール対策を考える際、メール送受信の部分に対策を導入するだけでは近年の巧妙な攻撃は防ぎきれません。不正サイトへのアクセスをブロックする対策や、万が一感染してしまった場合に備えたエンドポイント対策など、メール以外の観点での対策もバランス良く組み合わせて多段で防御するアプローチが重要です」(西川氏)
2. 人の脆弱性に対して技術の観点からアプローチする
この領域では、資産管理やデータ保護といった対策を代表例に挙げた。人の脆弱性の代表例である「人的ミス」はどうしても根絶できないため、「メールの宛先間違いを防ぐ仕組み」や「紛失した端末の遠隔ロック」など、人的ミスの発生を前提とした技術的対策の導入がどうしても必要だ。
もう1つの代表例である「内部不正」に対しても、「禁止」「抑止」「監査」という3つの観点から技術的対策を講じることが効果的だと同氏は強調する。
「社内情報が流出しないように、私用の端末にデータを転送したりUSBメモリでデータを持ち出したりすることを禁じるとともに、ログを取得・監視することで、こうした操作が行われた際には『必ずバレる』という状況を作ることが重要です」(西川氏)
3. 技術の脆弱性に対して人の観点からアプローチする
どれだけ優れた技術や評判の高い製品・サービスを導入しても、人による運用が疎かだと効力が発揮されない。たとえば、メールセキュリティの技術的な対策として多くの企業が導入している送信ドメイン認証だが、運用が疎かになっているために実効性をともなっていないケースが多いという。
「送信ドメイン認証技術の1つであるDMARCを多くの企業が導入していますが、日経225企業に着目してみるとDMARCを導入しているドメインの約8割がいまだに『p=none』(何もしない)の設定で運用を続けています。実際には『p=reject』『p=quarantine』の設定にすることでより効果的な対策が可能になるのですが、そのためには知識や運用ノウハウが必要となるため、そこまで踏み込めていない企業・組織が大半です」(西川氏)
こうした状況から脱却するためには、「外部のベンダーに相談したり、運用をアウトソースしたりするなど、人の観点からのアプローチを改善することで『p=none』から脱却して、送信ドメイン認証を次の段階へとアップデートできます」と西川氏は提案する。
4. 人の脆弱性に対して人の観点からアプローチする
この領域は「対策としては最も後回しになりがちで、かつ着手しにくく見落としがちな観点」だと西川氏は指摘する。具体的にはセキュリティ教育やガイドライン策定などの施策が含まれるが、効果が見えにくいため取り組みづらい側面がある。
しかし、どれだけセキュリティ環境を整備しても、それを利用するユーザー自身が「これくらいのことなら、やってもバレないだろう」という程度のリテラシーしか持ち合わせておらず、自ら対策をかいくぐる行動をとってしまうと、せっかく導入したセキュリティ対策も結局は無意味になってしまう。こうした事態を避けるためには、やはりユーザーのリテラシー向上の取り組みが欠かせないと同氏は強調。そのうえでリテラシーの向上においては「e-learningによる教育や社内の情報周知はもちろん大事ですが、それだけに留まらず実践的な訓練や演習を定期的に行うことが重要です。疑似的なインシデントを繰り返し体験してユーザーにリスクを肌身で感じてもらうことで、いざ本当のインシデントが発生した時にも素早く対応できるようになります」と付け加え、実践的な訓練の重要性も説いた。
専門家との対話を通して自社の「セキュリティマップ」を作成
西川氏は、これらの脆弱性への対策を体系的に検討するためのツールとして「セキュリティマップ」の活用を提案する。NISTのサイバーセキュリティフレームワーク2.0を参考にしたこのマップでは、「識別」「防御」「検知」「対応」「復旧」という5つの枠組みで対策を整理する。
「このマップを基に、自社の対策状況をあらためて見直してみることをお勧めします。これによって、たとえば『技術の脆弱性に対して、技術の観点でしかアプローチできていない』『人の脆弱性に対して技術の観点でしかアプローチできていない』といった気付きが得られます」(西川氏)
IIJでは「IIJ Sketch & Draw Workshop」というワークショップのサービスを提供しており、企業のセキュリティ担当者がIIJの専門家との対話を通じて現状の課題を整理し、セキュリティマップを描けるよう指南しているという。
「『知見がないため対策をどう進めればいいのか分からない』『ノウハウがないため環境を古い状態のまま放置してしまっている』といった課題に対して、『人の観点からのアプローチ』を新たに持ち込むことで課題解決の支援を提供します。現状整理と課題抽出のための第一歩として、ぜひ利用を検討していただければ幸いです」(西川氏)
