資料請求
OCAの魅力や
先輩のスクールライフを知ろう!
サイバーセキュリティ分野においてサプライチェーンリスクという言葉を目にすることが増えています。
企業のグローバル化や複雑化の影響によってサプライチェーン攻撃という新たな脅威が登場しました。
それにより、サプライチェーン攻撃への対策が情報セキュリティ上の新たな課題として浮かび上がってきています。
ここでは、サプライチェーンリスクとは何か、インシデント事例、企業の対応などをご紹介します。
これまでのサイバー攻撃は、ターゲットとなる企業を直接狙っていましたが、昨今ではサプライチェーンの中にある取引先など、中堅企業を足がかりにした不正侵入による被害が増えています。ソフトウェアの開発やデータの管理を他社に委託するなど、ITの分野でも多くの会社同士が繋がりを持っています。しかし、関係を持つ会社が増えるほどセキュリティ上のリスクは増加します。サプライチェーンリスクとは、このようにサプライチェーンを悪用したサイバー攻撃によるリスクのことを指します。
情報セキュリティ上でのサプライチェーンリスクには、部品製造の過程でマルウェアが仕込まれてしまうことや委託先のサーバーが攻撃を受けて情報流出が起きてしまうことなどがあります。サプライチェーン攻撃は近年になって表面化したリスクで、IPAが毎年発表している「情報セキュリティ10大脅威」にランクインしたのは2019年が最初です。
2020年に三菱電機で情報漏洩があったことが発表されました。その内容は、防衛省が「注意情報」に指定している機密情報が流出した可能性があるなど深刻なものでした。三菱電機の調査によると、まず、中国拠点にある端末が攻撃により乗っ取られそこから中国にある他の拠点へと感染が広がっていったそうです。中国拠点の端末を利用して、国内拠点にもマルウェア感染を拡大させていき、ついには重要データまで到達しました。
プロスポーツ法人から委託を受けて運営されているWebサイトが脆弱性を狙った攻撃のターゲットにされ、クレジットカード情報を含む15万件以上の個人情報の流出が起こりました。流出したクレジットカードの不正利用など約880万円の被害が報告されています。
サプライチェーンリスクが脅威を増す中、サプライチェーンリスクマネジメントに注目が集まっています。
サプライチェーンのどこかに綻びがあるとそこから全体へと影響が広がってしまうため、自社のセキュリティ対策だけでは不十分。委託先を含めた、サプライチェーン全体でセキュリティ対策をしなければならないことがわかってきました。
強固な情報セキュリティ体制を構築するためにも、最高情報セキュリティ責任者(CISO)をはじめとした情報セキュリティの専門家の存在や委託元と委託先の責任範囲を明確化するなどの対策が重要になってくるでしょう。