「標的にならないために」経営者が知るべきサプライチェーン攻撃のリスク

まずグループ企業や取引先に対してサイバー攻撃を仕掛け、そこを踏み台に本命である大企業を狙う「サプライチェーン攻撃」のリスクが高まっています。もし、この攻撃の踏み台として使われれば、多額の損害賠償や信用失墜は免れないでしょう。もはや「自社に限って狙われない」などと楽観視して、セキュリティ対策を後回しにすることはできません。

国が求めるサプライチェーンセキュリティ対策の推進

2018年11月16日、経済産業省は「サイバーセキュリティ経営ガイドライン Ver2.0」を公表しました。これは大企業および中小企業の経営者を対象として、サイバー攻撃から企業を守るために経営者が知っておくべき事柄をまとめたものとなっています。具体的には、経営者が認識すべき「3原則」、そして経営者がセキュリティ対策の責任者に指示すべき「重要10項目」でガイドラインが示されています。

3原則と重要10項目のいずれも見逃せない内容となっていますが、特に注目したいのは重要10項目のうちの1つである「サプライチェーンセキュリティ対策の推進/ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」です。系列企業やビジネスパートナーのセキュリティ対策が不十分であれば自社に被害が及ぶ恐れがあるため、セキュリティ対策の内容を明らかにして契約すべきなどとしています。

こうした内容が重要10項目の1つに入る背景には、まず小規模なグループ会社や業務委託先を狙い、そこを踏み台に大企業を狙うサプライチェーン攻撃のリスクが高まっていることがあります。このため、会社の規模が小さくてもサイバー攻撃の標的になるリスクはあることを認識し、適切にセキュリティ対策を進めていかなくてはなりません。

「リソース不足」のセキュリティ対策の鍵はWebにあり

ただそうはいっても、セキュリティ対策に多額の費用を投じることに二の足を踏む企業も少なくないでしょう。もちろん、業務で利用している個々のパソコンへのウイルス対策ソフトの導入や、インターネットとの境界で「UTM」※1を利用すると言った基本的なセキュリティ対策は講じるべきですが、それだけでは現状のサイバー攻撃を防ぐには不十分です。そこでぜひ検討したいのが、Web環境におけるセキュリティ強化です。

サイバー攻撃で使われるマルウェアの感染経路はいくつかありますが、その1つとして注意する必要があるのはWebサイトです。あらかじめマルウェアを仕掛けたWebサイトを用意し、メールなどでユーザーを誘導して感染させるといった手法のほか、正規のWebサイトに不正侵入して改ざんし、アクセスしたユーザーのパソコンにマルウェアを仕掛けるといった攻撃手法があります。

攻撃対象者が普段アクセスしているWebサイトを調べ、そこを改ざんしてマルウェアを仕掛ける「水飲み場型攻撃」と呼ばれるものもあります。これも一種の標的型攻撃であり、本来の狙いである大企業の取引先企業に対してこの攻撃を仕掛け、マルウェアに感染したパソコンを踏み台に大企業を狙うといったシナリオも十分に考えられます。

※1 UTM(Unified Threat Management:統合脅威管理)とは、ファイアウォールやIDS/IPS、ウイルス対策など複数の機能を統合したセキュリティ機器。

TMWSaaSで強化するWebセキュリティ

このようなWeb経由のサイバー攻撃に対するセキュリティソリューションの1つが「InterScan Web Security as a Service™」(以下、TMWSaaS)です。Webサイトにアクセスする際、専用のプロキシサーバーを経由して通信することにより、Webサーバーから送られてきた内容にマルウェアが含まれていないかをチェックします。

さらにTMWSaaSでは、トレンドマイクロ社の不正Webサイトの評価情報データベースに基づき、不正プログラムに感染するWebサイトやフィッシング詐欺サイトへのアクセスを未然にブロックする機能が利用できるほか、業務上必要のないWebサイトへのアクセスを遮断するURLフィルタリングの機能も用意されています。

クラウドサービスであるため自社にサーバーなどを用意する必要はなく、安価に利用できるメリットもあります。パソコンだけでなく、スマートフォンやタブレット端末でも利用することが可能なため、外出先でモバイルデバイスを積極的に活用しているといったケースにも最適であるといえます。

サイバー保険付きの安心感を備えるセキュリティサポートデスク

また、前述したサイバーセキュリティ経営ガイドライン Ver2.0では、サプライチェーンセキュリティ対策の推進の項目において、対策例の1つとして「緊急時に備え、委託先に起因する被害に対するリスクマネーの確保として、委託先がサイバー保険に加入していることが望ましい」と記述しています。サイバー保険とは、サイバー攻撃や情報漏えいなどによって生じた損害を補償する保険商品であり、徐々に広まりつつあります。

このサイバー保険が組み込まれたセキュリティサービスとして、ぜひ活用したいのが「セキュリティサポートデスク」です。歳代3,000万円の補償を受けられるサイバー保険が組み込まれているほか、コミュニティや専門家に相談できる相談窓口も整備されています。

特に、社内にセキュリティに詳しい人間がいない、あるいはセキュリティ対策に十分な予算をかけられないといったお悩みに対し、セキュリティサポートデスクでは、ポータルサイトで気軽にセキュリティに関する質問や相談が行えるほか、緊急時には電話でのサポートも受けられます。このように、セキュリティ人材の問題を解消するサービスとなっていることも、セキュリティサポートデスクの大きな特徴です。

さらにNTTコミュニケーションズが提供するセキュリティサービスを併せて利用すれば、ログの収集からインシデント発生時の原因究明まで任せることができ、ユーザー側の負担を抑えられます。ぜひ導入をご検討ください。

COLUMN
ビジネスメール詐欺の脅威

企業から金銭を窃取するサイバー攻撃として、大きな脅威となっているのが「ビジネスメール詐欺」です。これは取引先などになりすまして入金を促す詐欺行為であり、すでに多くの企業が被害を受けています。

その1社である国内のある航空会社では、実際の請求書を受け取った後、振込先の銀行口座を変更したなどといったメールが届きました。それを信じて振り込んだところ、実は口座の変更を伝えてきたのは取引先になりすました攻撃者で、振り込んだ金銭が詐取されてしまったという事件です。

すでにビジネスメール詐欺は世界中で多発しており、深刻な問題となっています。経理担当者などへの注意喚起を行うのはもちろん、メール環境のセキュリティ強化にも取り組むべきでしょう。なおメールセキュリティを実現するソリューションとしてはビジネスメール詐欺にも対応した「Trend Micro Hosted Email Security」や、メールを含めてMicrosoft 365環境のセキュリティ強化が図れる「Cloud App Security」があります。ぜひ活用してください。

サービス案内

  • ワンストップ・セキュリティ対策

    クラウドとオンプレミスが混在するハイブリッド環境に対応した、国内外シームレスかつ多層/フルレイヤーなトータルセキュリティアウトソーシングサービスです。
    平常時から、インシデント発生時、事後対応までトータルで「安心」をお届けします。

    セキュリティサポートデスク

  • クラウド型セキュリティ

    Microsoft 365標準セキュリティを強力にカバーするクラウド型セキュリティサービスです。社外に置かれるメールやクラウド共有ストレージデータのセキュリティを補完し、クラウドサービスを安心してご使用いただくための新しいソリューションをご提供します。

  • 高信頼VPN

    インターネット接続機能 セキュリティオプション(HESタイプ/TMWSaaSタイプ/VBBSタイプ)は、信頼性の高いトレンドマイクロ社のセキュリティ基盤を利用しています。メールは外部からID/パスワードなしで侵入できるため、攻撃者の大半は、メールを狙います。ビジネスにメール利用は欠かせない時代のメールセキュリティ対策をセットでご提供します。

    Arcstar Universal One セキュリティオプション