Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録

まずグループ企業や取引先に対してサイバー攻撃を仕掛け、そこを踏み台に本命である大企業を狙う「サプライチェーン攻撃」のリスクが高まっています。もし、この攻撃の踏み台として使われれば、多額の損害賠償や信用失墜は免れないでしょう。もはや「自社に限って狙われない」などと楽観視して、セキュリティ対策を後回しにすることはできません。

国が求めるサプライチェーンセキュリティ対策の推進

2018年11月16日、経済産業省は「サイバーセキュリティ経営ガイドライン Ver2.0」を公表しました。これは大企業および中小企業の経営者を対象として、サイバー攻撃から企業を守るために経営者が知っておくべき事柄をまとめたものとなっています。具体的には、経営者が認識すべき「3原則」、そして経営者がセキュリティ対策の責任者に指示すべき「重要10項目」でガイドラインが示されています。

3原則と重要10項目のいずれも見逃せない内容となっていますが、特に注目したいのは重要10項目のうちの1つである「サプライチェーンセキュリティ対策の推進/ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」です。系列企業やビジネスパートナーのセキュリティ対策が不十分であれば自社に被害が及ぶ恐れがあるため、セキュリティ対策の内容を明らかにして契約すべきなどとしています。

こうした内容が重要10項目の1つに入る背景には、まず小規模なグループ会社や業務委託先を狙い、そこを踏み台に大企業を狙うサプライチェーン攻撃のリスクが高まっていることがあります。このため、会社の規模が小さくてもサイバー攻撃の標的になるリスクはあることを認識し、適切にセキュリティ対策を進めていかなくてはなりません。

「リソース不足」のセキュリティ対策の鍵はWebにあり

ただそうはいっても、セキュリティ対策に多額の費用を投じることに二の足を踏む企業も少なくないでしょう。もちろん、業務で利用している個々のパソコンへのウイルス対策ソフトの導入や、インターネットとの境界で「UTM」※1を利用すると言った基本的なセキュリティ対策は講じるべきですが、それだけでは現状のサイバー攻撃を防ぐには不十分です。そこでぜひ検討したいのが、Web環境におけるセキュリティ強化です。

サイバー攻撃で使われるマルウェアの感染経路はいくつかありますが、その1つとして注意する必要があるのはWebサイトです。あらかじめマルウェアを仕掛けたWebサイトを用意し、メールなどでユーザーを誘導して感染させるといった手法のほか、正規のWebサイトに不正侵入して改ざんし、アクセスしたユーザーのパソコンにマルウェアを仕掛けるといった攻撃手法があります。

攻撃対象者が普段アクセスしているWebサイトを調べ、そこを改ざんしてマルウェアを仕掛ける「水飲み場型攻撃」と呼ばれるものもあります。これも一種の標的型攻撃であり、本来の狙いである大企業の取引先企業に対してこの攻撃を仕掛け、マルウェアに感染したパソコンを踏み台に大企業を狙うといったシナリオも十分に考えられます。

※1 UTM(Unified Threat Management:統合脅威管理)とは、ファイアウォールやIDS/IPS、ウイルス対策など複数の機能を統合したセキュリティ機器。

関連サービス