• 2024.09.27
  • サイバーセキュリティ

サプライチェーン攻撃への対応の難しさ

セキュリティに課題を抱える企業を対象に独自のセキュリティサービスを提供されている、株式会社CISO 代表取締役 那須慎二様によるセキュリティコラム第2弾 第3回。今回は、サプライチェーン攻撃への対応についてご紹介いただきます。

前回は最新のランサムウェア情勢とこれまでの変遷をご説明いただきましたが、日々進化を続ける攻撃に対しては、最新情報を把握しておくことが対策の第一歩であると教えていただきました。
ランサムウェア最新情勢

今回はサプライチェーン攻撃についてです。被害に遭うことは自社のみならず関係企業にまで影響を及ぼしてしまうこと、その危機感を持つためにぜひご一読ください。


サプライチェーン攻撃への対応【セキュリティコラム第2弾 第3回】

企業規模の大小に関係なく、BtoCやBtoBなどに関係なく、事業を営むということは、あらゆる関係性の上に成り立つ、ということでもあります。そこには、金銭やモノなどの行き来のみならず、「情報」も合わせてやり取りがなされます。

例えば、システム開発を行う大手ITベンダーは、クライアントから受託したシステム開発を他のシステム会社に再委託する「多段階構造」が通例です。建設業や製造業も二次請け、三次請けへと仕事を割り当てる「サプライチェーン構造」で有名な業種です。

商品を作るメーカー、それを預かる倉庫企業、それを配送する物流企業、それを店舗に並べる小売店、それをネット上に並べるECサイト。モノとお金と情報が、相互にやり取りがなされ、世の中の商売が成立します。

サイバー攻撃は、そのようなやりとりを一瞬にして壊滅状態に追いやります。

関係があるのであれば他人事ではない

例えば、システム開発であれば、再委託したシステム開発会社がサイバー攻撃によって破壊された場合、納期遅延が確実になるばかりか、機密情報として取り扱うべきソースコードが漏洩したり、開発に関わる企業一覧とその担当者、役割が明記された情報が漏洩すれば個人情報漏洩となり、個人情報保護委員会への報告が必須となります。

建設業であれば、本来であれば世の中に出てはいけない「設計図面」情報が破壊され、流出することで、テロリストの手に渡ると破壊活動に使われるリスクが突如として顕在化したり、そこに掲載されている会社名や設計担当者名等が掲載されていれば個人情報の漏洩に直結します。

商品を作るメーカーのシステムが破壊されれば、そもそも出荷すること自体が困難になり、市場から一時的、あるいは断続的に供給量が減少し、供給不足が社会問題化する懸念が突如として顕在化します。

どこか1箇所でサイバー攻撃による破壊や、情報漏洩が起こってしまうと、関連する事業会社全てが影響を受けざるを得なくなります。そのため、自社だけがしっかりとセキュリティ対策を講じていたとしても、ビジネスでやりとりをする他の企業が被害に遭えば、自社もサイバー被害に巻き込まれることになってしまいます。

個人情報保護委員会への報告義務

突如としてサイバー被害に遭ってしまった企業からの相談を受けたり、サイバーインシデント対応をしている中で、改めてサプライチェーン攻撃への対応の難しさを痛感します。

例えば、ランサムウェア等の被害に遭った際に情報流出の懸念があり、且つ個人情報が含まれている可能性がある場合は、内閣府の公的機関である個人情報保護委員会への報告が必須となります。取引先から預かった個人情報であったり、取引の合間でやり取りされる情報に個人情報が掲載されている場合、取引先が被害に遭っていなかったとしても、個人情報後保委員会の報告が必須となるのです。取引先としてはまさに巻き込み事故のような状況に陥ります。

被害の発端にならないために

このような被害を防ぐ手立てはあるのでしょうか。

今のところは、セキュリティレベルの高い企業からの注意喚起、あるいはセキュリティ対策が行われているかどうかのチェックシートによる現状確認が行われていますが、強制力があるわけではなく、対策そのものは、その企業が任意に行うものです。

特にセキュリティ意識の低い中小企業では、チェックシートなどに記載されている内容そのものが理解できずにそのまま放置する等、真剣に向き合って対策をしている企業は決して多くはありません。

IPA(情報処理推進機構)も、2024年の情報セキュリティ10大脅威の中で、「サプライチェーンの弱点を悪用した攻撃」を二位に挙げています。

セキュリティの重要性を把握してる公的機関や取引会社、インシデント対応を行っているセキュリティ専門会社等はサプライチェーンリスクの重要性を痛感しているのですが、セキュリティに無頓着な企業は、自社がサプライチェーンの中におり、サイバーセキュリティ対策を強化しなくてはいけない、とすら思っていない点が、サプライチェーン攻撃への対策の難しさを物語っています。

筆者紹介

那須 慎二(なす しんじ)
株式会社CISO 代表取締役

国内大手情報機器メーカーにてインフラ系SE経験後、国内大手経営コンサルティングファームにて中堅・中小企業を対象とした経営コンサルティング、サイバーセキュリティ・情報セキュリティ体制構築コンサルティングを行う。
2018年7月に株式会社CISO 代表取締役に就任。人の心根を良くすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、長年の知見に基づく独自のセキュリティサービス(特許取得 特許第7360101号)を提供している。 業界団体、公的団体、大手通信メーカー、大手保険会社、金融(銀行・信金)、DX関連など業界問わず幅広く講演・執筆多数。近著に「知識ゼロでもだいじょうぶ withコロナ時代のためのセキュリティの新常識(ソシム)」あり。