「サプライチェーンのセキュリティリスクにはどのような対策を取るべきか」
そんな悩みをお持ちの方に、本記事ではサプライチェーンセキュリティの具体的なリスクと、その対策を解説します。サプライチェーンリスクを狙った攻撃手法は複数あり、それぞれに有効な対策が必要です。事例を学びながら、サプライチェーンセキュリティの対策を講じましょう。
サプライチェーンセキュリティとは?
サプライチェーンセキュリティは、自社が関連するサプライチェーン内のセキュリティのことです。なぜサプライチェーンでセキュリティが重要視されているのかを解説します。
サプライチェーンセキュリティの概要
サプライチェーンセキュリティは、サプライチェーン全体の企業やプロセスを保護するセキュリティのことです。
サプライチェーンには多くの企業が存在します。例えば物流であれば製造、運搬、物資調達、倉庫保管、販売など様々な企業が関わることになるでしょう。しかし、サプライチェーンに属する企業のうち、いずれかが業務不能の事態になれば、全体に影響を及ぼします。
業務停止の原因になり得るのが、システムセキュリティの脆弱性を突いたサイバー攻撃です。各企業がシステムを持ち、業務を管理していても、悪意のある攻撃を受け、システムが停止してしまえば業務に支障が出ます。結果として、サプライチェーンが滞ってしまう原因になるため、サプライチェーンセキュリティが注目されています。
サプライチェーンセキュリティに注目が集まる理由
サプライチェーンセキュリティに注目が集まる理由として以下があります。
- 損害が大きい
- 中小企業はセキュリティ対策が万全でないことが多い
- IPA(独立行政法人情報処理推進機構)の情報セキュリティ10大脅威(企業)で2位にランクイン
サプライチェーンは多くの企業が関係することから、動くモノ、ヒト、カネも大きいことが特徴です。サプライチェーンが滞ると、場合によっては世界規模で影響する可能性があり、注目を集める理由になっています。
影響の大きさや被害事例が増えてきたこともあり、IPAはサプライチェーンセキュリティの危険性を警告し、ますますセキュリティ対策の重要性が認識されるようになりました。
サプライチェーンのセキュリティリスク3選
サプライチェーンのセキュリティリスクとして以下の3つが挙げられます。
- サプライチェーン攻撃
- 災害やパンデミック
- 内部不正・操作ミス
なおサプライチェーンのリスクについては別記事で解説しているので、あわせてご覧ください。
サプライチェーン攻撃
サプライチェーン攻撃は、サプライチェーンに関与する企業を狙ったサイバー攻撃です。
多くの企業が携わるサプライチェーンでは、1つの企業でも業務停止の事態になれば、全体に影響します。業務停止になる原因の1つは、サイバー攻撃によるシステム停止です。
サプライチェーンには多くの企業が存在します。企業規模も大企業だけでなく、中小企業も存在するでしょう。大企業はセキュリティ対策にリソースを注ぎ込みますが、中小企業はそうでないことも多いです。全体で見ると脆弱性があるため、攻撃者が狙ってきます。
サイバー攻撃に対するセキュリティは、サプライチェーン全体で考える必要があります。
災害やパンデミック
災害やパンデミックもサプライチェーンのリスクです。
災害やパンデミックにより、従業員の離職や出勤停止によって業務が回らず、サプライチェーンが滞る原因になります。例として、世界中の物流に影響を及ぼした新型コロナウイルスが挙げられます。世界的なパンデミックは、一般市民に必要な物資や医薬品が行き渡らない事態を引き起こしました。
災害やパンデミックもサプライチェーン内の企業を業務停止に追い込む可能性が十分にあります。対策としては、十分な人手の確保や、自動化、リモートワークなど、可能な限り業務が停止しにくい体制を整備することが重要です。
内部不正・操作ミス
従業員による内部不正や操作ミスもサプライチェーンのリスクです。
サプライチェーンの企業数に比例して、企業秘密の数も多くなります。従業員の悪意、または不手際による操作ミスで情報漏えいすれば、該当企業は競争力を失うことになるでしょう。結果的に、全体に影響を及ぼすことになります。
内部不正や操作ミスは外部攻撃や災害、パンデミックとは異なり、各企業での対策が可能です。内部不正を防ぐためのコンプライアンス強化や、アクセス制限の最小化などを実施すべきです。また操作ミスを防ぐために、自動化やダブルチェックなど十分な対策を講じましょう。
サプライチェーン攻撃の種類
サプライチェーン攻撃の種類として以下を解説します。
- 関連会社を狙う攻撃
- 機器やソフトウェアを狙った攻撃
関連会社を狙う攻撃
サプライチェーン攻撃として関連会社を狙う攻撃があります。
攻撃者の考えとして、サプライチェーン攻撃はターゲットとなる企業やサプライチェーン全体に影響が及べば、攻撃対象はどこでも構いません。例えば関連会社の社員が利用するパソコンに侵入し、データの改ざんを行えば、全体に影響が及びます。また関連会社のネットワークに侵入し、そこから大企業への直接攻撃も可能です。
多くの場合、ターゲット企業が大企業でも、サプライチェーン全体で見れば、関連会社となる中小企業は存在します。そして大企業と中小企業で比較すれば、セキュリティ対策が甘いと見られる中小企業を狙うのは自然な流れです。
そのため、サプライチェーン全体でセキュリティ対策を実施する必要があります。
機器やソフトウェアを狙った攻撃
サプライチェーン攻撃は機器やソフトウェアを狙った攻撃もあります。
企業がハードウェア購入やソフトウェア導入をする際は、十分な安全性を確認します。しかし、ハードウェアに危険なチップが仕込まれていたり、ソフトウェアに悪意のあるプログラムが潜んでいたりしても、事前のセキュリティチェックをすり抜けてしまうことがあるでしょう。結果的に、企業は安全でないハードウェア、ソフトウェアを導入してしまい、その脆弱性を突いてサプライチェーン攻撃が行われます。
もちろん、このリスクは企業規模を問わずに存在します。ハードウェア、ソフトウェアの導入や更新時には十分に安全性を確認する、信頼できるベンダーを利用するなどの対策が必要です。
サプライチェーン攻撃のセキュリティガイドライン
サプライチェーン攻撃のセキュリティガイドラインとして以下の2つがあります。
- 経済産業省「サイバーセキュリティガイドライン」
- IPA「サプライチェーンにおけるサイバーセキュリティ対策の強化について」
経済産業省「サイバーセキュリティガイドライン」
経済産業省「サイバーセキュリティ経営ガイドライン」p29にサプライチェーンセキュリティについて記載されています。
主な内容は中小企業を含む、多くの企業がサプライチェーンの中でどのようにセキュリティ強化を実現していくかです。
- 対策を怠ると自社が攻撃される可能性はもちろん、踏み台にして他社への攻撃につながることから加害者にもなり得る
- 対策として、サプライチェーン全体でセキュリティ強化に努める必要がある
- サイバーセキュリティ対策の責任主体の明確化
- 委託先の選定方法
- サイバー保険の加入の推奨など
経済産業省が警鐘を鳴らすほど、サプライチェーン攻撃は身近なものになってきており、サプライチェーンセキュリティの重要度が増しています。
IPA「サプライチェーンにおけるサイバーセキュリティ対策の強化について」
IPAは「サプライチェーンにおけるサイバーセキュリティ対策の強化について」という注意喚起の資料を公開しています。
主な内容は「サプライチェーン攻撃へのセキュリティ対策でも、基本的なセキュリティ対策と重複する部分が多くあるので基本を徹底すべき」というものです。具体的な対策は以下になります。
- リスク低減のための措置
- パスワードの複雑化
- 多要素認証やアクセス権限の最小化を実施
- セキュリティパッチの適用
- 従業員のセキュリティ教育
- インシデントの早期検知
- ログの監視
- アクセスコントロールの再確認
- インシデント発生時の適切な対処・回復
- バックアップの実施と復旧手順の確認
- トラブル発生時の連絡体制の構築
セキュリティ対策の基本の徹底は企業規模問わず大切です。サプライチェーンセキュリティにおいても同様であり、自社で基本的なセキュリティ対策から始めましょう。
参考:サプライチェーンにおけるサイバーセキュリティ対策の強化について(IPA)
サプライチェーン攻撃のセキュリティ対策
サプライチェーン攻撃のセキュリティ対策として以下を解説します。
- サプライチェーン全体のセキュリティ方針を統一
- セキュリティ対策の現状を把握
- サプライチェーンのセキュリティ強化
- サプライチェーンのセキュリティ体制の評価
サプライチェーン全体のセキュリティ方針を統一
サプライチェーン攻撃に対応するためには、サプライチェーン全体でセキュリティ方針を統一する必要があります。
サプライチェーン攻撃は、どこを狙ってくるか分からないものです。しかし、セキュリティ対策が十分でないポイントがあると分かれば、攻撃者はポイントを積極的に狙ってきます。そのようなポイントをつくらないためにも、サプライチェーンの各企業が自分ごととして捉えることが重要です。「当社は狙われない、他社が対策しているから大丈夫」などと考えている企業は狙われる可能性があるため、十分に注意しましょう。
具体的には以下の方法でセキュリティ方針を統一できます。
- サプライチェーンで連携する企業同士が、セキュリティ要件を満たして契約する
- 各企業間でセキュリティ強化策を共有する
セキュリティ対策の現状を把握
サプライチェーンの各企業がセキュリティ対策の現状を把握することも重要です。
各企業は下記ポイントを確認しましょう。
- セキュリティソリューションの導入状況、設定状況
- 監視体制
上記を確認し、可視化することで弱点が見えてきます。弱点となり得るポイントには積極的にアドバイスをもらい、別の対策を講じることが可能です。また弱点が事前に分かっていると、実際にサプライチェーン攻撃を受けた場合にも、原因となるポイントを絞りやすくなります。
サプライチェーン全体のセキュリティ底上げのために、まずは自社でセキュリティ対策の現状を確認しましょう。
サプライチェーンのセキュリティ強化
サプライチェーン全体のセキュリティ強化のために、取り組みを実施しましょう。セキュリティ方針の統一や、分析を行っても具体的な対策を行わなければセキュリティ強化はできません。
セキュリティ強化は具体的に以下を行うことです。
- データやシステムへのアクセス制限の最適化
- ファイアウォールやアンチウイルスなどセキュリティソリューションの導入
- 定期的なセキュリティアップデートの義務化
- 従業員のセキュリティ教育
- ネットワーク監視体制の強化
他にもバックアップ体制の構築や、多要素認証の導入などさまざまな対応が可能です。サプライチェーンの各企業が上記のセキュリティ強化を実施することは、全体のセキュリティ強化につながります。
企業ごとに予算や、従業員のセキュリティリテラシーなど、状況は異なりますが、サプライチェーン全体でカバーできるように対応しましょう。
サプライチェーンのセキュリティ体制の評価
サプライチェーンのセキュリティ体制の評価を実施して、対応が十分か確認する必要があります。
サプライチェーン全体のセキュリティ体制の評価には以下のパターンがあります。
- 各企業のセキュリティ担当者によるすり合わせ
- 第三者機関によるサプライチェーン全体の調査
上記のように内外それぞれでセキュリティ対策の評価を行い、さらなるセキュリティ強化に向けたアドバイスや知見を得られます。サプライチェーン同士であればセキュリティ対策の共有、第三者機関であれば分析結果によるアドバイスを得ることが可能です。
サプライチェーン全体のセキュリティ体制の確認を踏まえて、全体のセキュリティ強化につなげましょう。
サプライチェーン攻撃の被害事例
サプライチェーン攻撃の被害事例として以下があります。
- 業務委託先がアカウントの不正利用をされる
- ホテルに不審なメールが送信される
業務委託先がアカウントの不正利用をされる
業務委託先がアカウントの不正利用されたことを受け、委託元企業の個人情報が流出するサプライチェーン攻撃がありました。
委託先企業は従業員のアカウントが乗っ取られたことが原因だとしています。委託元企業は委託先企業のアカウントだと認識していたため、不正な挙動の検出ができず。個人情報を流出させてしまいました。
サプライチェーンの関連会社から親会社(攻撃対象としたい企業)への侵入を許したケースです。
ホテルに不審なメールが送信される
海外の事例ですが、攻撃者がホテルにフィッシングメールを送信し、ホテルスタッフが操作したことでアカウントの乗っ取りをされてしまいました。乗っ取ったアカウントでホテルを提供事業者とする提携元企業にも侵入し、大量の個人情報が流出しています。
提携事業者からでも不正アクセスを受ける可能性を示唆したサプライチェーン攻撃のケースです。
まとめ
サプライチェーンセキュリティは、サプライチェーン全体のセキュリティを強化する対策です。
サプライチェーンは所属する企業の数だけ、攻撃対象も多いです。各企業が対策をしないと、サプライチェーン全体に影響が及びます。各企業が自分ごととして捉え、適切なセキュリティ対策の実施が必要です。
三和コムテックが提供するLabrador Labsは、開発したソフトウェアに組み込まれるOSS(オープンソースソフトウェア)の管理が可能なSBOM製品です。サプライチェーンセキュリティ強化にあたり、開発したソフトウェアを利用する場合には、ご検討ください。
