サプライチェーンとサイバーセキュリティ

サプライチェーンもサイバー攻撃の対象になり、近年、その被害は増加傾向にあります。なぜ、サプライチェーンへの攻撃は、増加するのでしょう。サイバーセキュリティ対策について解説します。

FacebookTwitterLinkedIn
vulnerability-measures

国の機関や大手の企業などでは情報セキュリティの意識も高まり、セキュリティ対策の担当者を置き、サイバーテロに向けた並々ならぬ対策を行う様相は珍しくありません。しかし、サプライチェーンもまたサイバー攻撃のターゲットであることを忘れてはいけません。

サプライチェーンとは、サービス提供を行うための一連のビジネス活動をさし、企業が企業活動を行う上で欠かせない原材料の調達や製造、流通などを行う、取引先や関連企業などを含めた流れの事を指します。サプライチェーンとして経営している企業のセキュリティ対策担当者であれば、できるだけ早い段階で対策を講じておく必要があります。

なぜサプライチェーンへの攻撃が増加するのか

2020年6月になされた経済産業省の報告によれば、日本の大手企業や防衛省と取引のある企業へ高度なサイバー攻撃があったと報告されています。また、新型コロナウイルス感染症の拡大に伴い、日本政府は、製品・部素材に対してサプライチェーンの脆弱性が顕在化していると判断し、国内投資促進事業費補助金などで対策を行っていることからも日本へのサプライチェーンへの攻撃が増加傾向していることがわかります。

この報告で注目すべきなのは、サプライチェーンの取引関係やその過程の中小企業がターゲットになっていることです。サプライチェーンの中で、大手企業との関係が遠い中小企業や零細企業のセキュリティ対策が十分に行われていないという実情を攻撃者は知っておりターゲットにしていることがわかります。

たとえば、発注をした企業は高い知名度と多くの社員を抱えている大手企業であっても、受注先の社員の人数が10名未満である事は少なくありません。社員の人数が少ない企業においてはサイバーセキュリティに対する時間とコストがかけにくく、セキュリティ対策の担当者を手配することが困難だったり、経営層がセキュリティについて深く認識していないこともあります。また、昨今は、グローバル化が進み大企業のみならず中小企業も海外と直接、取引するようになっています。
このような環境を利用して攻撃者は、海外、国内問わずに取引先や関連企業の中からセキュリティ対策が手薄の企業を探し出しサーバーへ攻撃し侵入しています。

実際、国内のとある大手企業は、海外の関係会社と関係のある小さな企業にサプライチェーンによる攻撃が仕掛けられたことより、攻撃者がネットワークに不正にアクセスし、120台超のパソコンや40台超のサーバーに被害が生じ、個人情報や企業機密、インフラなどの情報が漏洩した可能性があると発表しています。

また、取引先や社内へのリソースが十分行われていないために、大手企業のみならず取引先の社員が私物の端末を会社のWi-Fiに接続することやホテルのWi-Fi環境で社内システムに接続することにより、ソフトウェアを経由したマルウェアやランサムウェアに感染し、攻撃者が感染したそれらの端末を利用して外部から企業のサーバーへ通信しているケースもあります。

deployment
deployment

サプライチェーンの対策

では、どうすればサプライチェーンのサイバー攻撃に抵抗できるでしょうか。残念ながら、仕掛けられるサプライチェーン攻撃が1つではないことや複数の企業が連携していることから、サプライチェーン攻撃を100%防ぐことは難しいといわれています。しかし、サプライチェーンの企業のセキュリティ対策担当者が取引先、再委託先、再々委託先を含めてサプライチェーン全体のサイバーセキュリティ対策について把握することで、サプライチェーン攻撃へ対抗することができます。そして、自社の責任と委託先の責任を切り分けておくことが大切です。そのためには、予防、対策、補償という3つのポイントを押さえて考える事が必要です。

【予防と対策】

サプライチェーンへの攻撃に対してできる対策として、企業としてしっかりとセキュリティ対策を行うことが重要です。これは、サイバー攻撃の被害を未然に防ぐと共に、今後新たに取引先となり取引を行う企業に対して安心材料を与える事にもなるため、第三者機関を利用して認証を受けておきましょう。

また、サイバー攻撃であるウイルスが端末に入り込む経路はインターネット上であり、持ち出される多くの情報もネットワーク上にあります。ですから、安全でないネットワークに接続しない事が根本的な予防でもあり対策になります。しかし、サプライチェーンの構造は、ネットワークに接続しないで事業を進めるのは難しい状況ですから、セキュリティリスクを可視化することが大切です。データ保護規制が進む状況において、グループ会社や取引先などのサードバーティを含めたリスクを考慮する必要があります。

【補償】

被害が発生した際の対応については、サプライチェーンとして経営している企業のセキュリティ対策担当者が中心となり、想定される被害や補償などについて、企業間であらかじめ取り決めておきましょう。被害が発生した時にはできるだけ迅速に対処することにより被害を最小限にくい止められるでしょう。サイバー保険に加入することもお勧めします。

シングテルでは、世界クラスのサイバーセキュリティでお客様のビジネスを守ることが可能です。シングテルのサイバーセキュリティ部門であるTrustwave(トラストウェーブ)社アナリストとエンジニアが最先端のサイバーセキュリティを専門的に支援します。

関連記事

サイバーセキュリティで AI から企業機密を保護するShare
Apr 2025 | -
サイバーセキュリティ
サイバーセキュリティで AI から企業機密を保護する
このブログでは、AI を悪用した不正侵入から企業資産を守るために、Singtel が提供するサイバーセキュリティソリューションをご紹介します。さらに、プライベートな会話を高度に暗号化することで、いかに従業員の機密性を確保するかについても取り上げます。
従来の防御の先へ:サイバーセキュリティの再考Share
Dec 2024 | -
サイバーセキュリティ
従来の防御の先へ:サイバーセキュリティの再考
企業がデジタルトランスフォーメーション (DX) を加速させるにつれ、サイバー攻撃の巧妙さも増しています。このような脅威と戦うために、企業は先進的なサイバーセキュリティのイノベーションを模索する必要があります。ここでは、通信事業者のデータがそれにどのように役立つかをご紹介します。
MSS とサイバー攻撃からの復旧Share
Oct 2024 | -
サイバーセキュリティ, Japanese, Japan
MSS とサイバー攻撃からの復旧
ソフトウェアのエラーにより発生した大規模な IT 障害の結果として、グローバル企業の脆弱性が露呈しています。では、サイバー攻撃により同様なインシデントが発生した場合、企業は何をすべきでしょうか?最初にすべきなのは、問題の存在を認識することです。以下に、マネージドセキュリティサービス (MSS) がどのように役立つかをご紹介します。