損害賠償を請求された例も!?
サプライチェーン攻撃への対策を考える

損害賠償を請求された例も、
サプライチェーン攻撃への対策は不可欠

現代の企業活動は一社だけで完結せず、原材料や部品の調達から製造、在庫の管理、流通、販売など、製品やサービスが消費者の手に届くまで様々な企業が関わっています。これを「サプライチェーン」と呼びますが、今、このサプライチェーンの脆弱性を標的にした「サプライチェーン攻撃」が情報セキュリティの新たなリスクとして浮上しています。

背景には、サプライチェーンの頂点あるいは始点となる大企業やグローバル企業のセキュリティ対策が、近年、堅牢化したことがあります。サイバー攻撃者はそういった堅牢なセキュリティを突破するよりも、情報セキュリティ対策の甘いチェーンの別の企業に侵入し、そこを足がかりに大企業に攻撃をかける方が効率的だと考えるようになったのです。

そういった中、IPA（独立行政法人情報処理推進機構）による「情報セキュリティ10大脅威 2019」では、組織への脅威として、標的型攻撃による被害、ビジネスメール詐欺による被害、ランサムウェアによる被害に続く第4位に「サプライチェーンの弱点を悪用した攻撃の高まり」が初めて挙がっています。

サプライチェーン攻撃には
どのようなパターンがあるのか

サプライチェーンにおけるリスク対策でこれまで重点が置かれていたのは、災害・事故などが起こっても事業を止めないという、事業継続計画（BCP）に関わることでした。下請け企業や協力企業などからの原材料や部品といったモノの調達が、災害・事故などによって計画通りできなくなることによって、事業継続への支障が生じるリスクへの対策が重視されていたのです。

しかし昨今は、サプライチェーンを構成する各企業はモノの流れだけでなく、情報ネットワークでもつながっているケースが少なくありません。ジャストインタイム方式で無駄を省いた生産を目指す際には、納期情報などを常に共有する必要があるからです。そのためサプライチェーンの中に情報セキュリティ対策が不十分な企業があると、その企業からのメールや納品物にコンピューターウイルスが混入していたり、不正アクセスを許してチェーンの情報が流出するといったリスクが生じるのです。

実際、過去にはある企業が作成した通販サイトシステムで、ソフトウェアの欠陥である脆弱性が狙われ、委託元の顧客クレジットカード情報を含む個人情報が流出した事件が起きています。その企業は、委託元からサイトのセキュリティ対策の不備を指摘され、情報漏えいへの対応や調査費用、売上減少に対して、約1億円の損害賠償請求を受けました。

自社のセキュリティホール（脆弱性）が原因で、サプライチェーンの他の企業に被害を生じさせた場合、ビジネスパートナーとしての信用を失うことはもちろん、取引の打ち切り、損害賠償請求につながるなど、事業の継続に致命的なダメージを受けることになります。経営者はサプライチェーンを狙ったサイバー攻撃への対策を、経営課題のひとつとして取り組まなければなりません。

サプライチェーン攻撃の対策は、
何から始めればいいのか

では、具体的に何をすればいいのでしょうか。まず実行すべきは、基本的な情報セキュリティの徹底です。IPAによる「情報セキュリティ5か条」では、

1. OSやソフトウェアは常に最新の状態にする。脆弱性は、ソフトウェアを更新して根本的に解消する
2. ウイルス対策ソフトの導入。流行しているウイルスの感染を未然に防ぐ
3. パスワードを強化する。 パスワードは「長く」「複雑に」「使いまわさない」
4. 共有設定を見直す。無関係な人に情報を覗き見られるトラブルを回避
5. 脅威や攻撃の手口を知る。新聞やインターネット等から情報を収集し、被害に遭わないよう手口を事前に知る。

ことが挙げられています。

これらの基本的な対策を実行した上で、ITインフラの見直しや投資も検討します。例えば、通信を暗号化する仮想の専用回線VPN（Virtual Private Network）を構築すれば、サイバー攻撃者を始めとする第三者からの改ざんや覗き見などを防ぐことができます。UTM (統合脅威管理)による対策も効果的です。UTMはネットワークの出入り口に情報セキュリティ機能を持った機器を設置することで、外部からのマルウェアやウイルスによるサイバー攻撃を遮断するとともに、不正なWebサイトへのアクセスを制限して内部からの情報漏えいを防ぐことができます。クラウド上でアクセスログや機器の一元管理をできるなど、情報セキュリティ運用の負荷軽減にもつながります。

専門知見を持った外部リソース活用は、
有効な手立て

とはいえ、多くの企業では自社のセキュリティのどこに問題があるのか分からないケースがほとんどです。「ITインフラをどのように見直して、どのくらいの予算を投じればいいのか」を自力で判断するのは困難と言えます。

そこで活用したいのが専門知見を持った外部リソースの活用です。セキュリティ製品やサービスを扱う多くのベンダーでは、その企業のセキュリティの弱点がどこにあるのかを「セキュリティ診断サービス」で見つけ出してくれます。また最近では、VPNやUTMの導入を一手に任せられるサービスや、中堅・中小企業でも利用可能な価格で24時間365日での不正アクセス監視、ネットワーク周りのトータルセキュリティやインシデント発生時の対応などをアウトソーシングできるサービスも登場しています。サプライチェーンを構成する多くの中堅・中小企業では、情報システム部門が少数精鋭で、情報セキュリティ担当者も他業務と兼務しているケースが少なくありません。専門知見を持った外部リソースの活用は、予算や人員が限られる中堅・中小企業にとって有効な手段となりえます。

最後に、たとえ自社が万全のセキュリティ対策をとっていても、サプライチェーンの他の企業の情報セキュリティ対策が不十分であればサイバー攻撃の被害にあいます。そのため最終的に必要となるのは、サプライチェーンを構成する各社で互いにセキュリティレベルをチェックし合い脆弱性があった企業には改善を求める、取引の際には情報セキュリティレベルをお互いに確認し契約に盛り込む、といった取り組みです。

このようにサプライチェーン攻撃への対策は、企業規模や業種を問わず不可欠となっています。経営者は、事業の存続に関わる最優先課題として取り組む必要があるのです。