深刻化するサプライチェーン攻撃のリスク、必要なセキュリティ対策とは

 2019.12.03  AJS株式会社

現在は設計から開発、製造、運用、廃棄まで、すべての供給プロセスで適切に外部委託を活用しながら供給していく「サプライチェーンマネジメント(SCM)」が普及しています。業務プロセス全体の最適化・効率化を最大限高め、競争力強化を図る経営戦略です。

しかし、こうした多数のアウトソーシングの利用が、セキュリティ面での脆弱性につながっていることが問題となっています。

ここではサプライチェーン攻撃がどのようにして行われるかリスクや事例を挙げ説明し、そのセキュリティ対策についてご紹介していきます。

サプライチェーンのリスクについて

「サプライチェーン」とは製品の原材料の生産から消費者に届くまでの一連のプロセスのことです。現在は一社のみでサプライチェーンが行われるケースはほとんどなくなり、さまざまな下請け、サプライヤーに生産を発注して生産性アップを図る経営手法「サプライチェーンマネジメント」が主流になりつつあります

しかし、さまざまな委託業者を介して消費者に届けるまでの流れが非常に細かく分けられるので、ガバナンスが甘いと、部品生産を担当する下請けなどで異物混入、品質の低下といったリスクがあるのもSCMの一つの側面です。また供給元が災害などを受けて、部品供給が遅れるといったリスクもあります。

特に深刻なのはIT関連業界です。「ソフトウェアサプライチェーン攻撃」と呼ばれますが、データとしてやり取りを行うことが多い運用であるためサイバー攻撃のターゲットとなりやすい問題があります。例えば、委託業者による機密情報の搾取、不正機能の組み込みなどです。

サプライチェーン攻撃の実例

まず1つ目の事例は、企業組織に製品供給や納品といったプロセスに攻撃をした例です。「M.E.Doc」というウクライナの税務会計ソフトが使われ、マルウェア(有害な動作を行うソフトウェア)が拡散されました。攻撃者たちは更新プログラムにアクセスし、悪意あるアップデートを紛れ込ませたと考えられています。結果的にウクライナのみならず、ヨーロッパ中に被害が広がりました。

2つ目の事例は、スポーツチケットなどを販売していた国内法人の例です。委託先サイトの脆弱性を狙ったサイバー攻撃を受け、15万5,000件の個人情報(3万2,000件のクレジットカード情報も含まれる)が盗まれて大きな被害を受けました。

3つ目はスウェーデン交通局で警察・軍関係の機密などを含めたデータベースが漏洩した事例です。経費節約のために他国にサーバーを移したものの、そのチェックを怠ったため、現地技術者によって簡単に機密情報にアクセスできる状況が放置されていたことが問題となりました。

サプライチェーン攻撃の実例

サプライチェーン対策に必要なセキュリティとは

まず人的なセキュリティ対策として、ある特定の人間だけが委託元から引き継いだ機密情報にアクセスできる状況をつくらないように、相互監視システムをしっかり整備すること、それから取引している企業ネットワーク全体に、情報セキュリティに関する教育をしっかりと行き届かせることが必要です。

またシステム開発におけるセキュリティとして、不正侵入の検知や防御を行えるIPSの導入、さまざまなウイルスへの対策ができる製品の導入は必須でしょう。しかも単に感染を防ぐというだけではなく、迅速な対処ができるソフトであることが望まれます。

まとめ

サプライチェーン攻撃は今後ますます巧みになり、ますます増加していくことは間違いありません。

特にコスト面などから対策が遅れがちな中小企業はターゲットになりやすいと言えます。大きな組織へ攻撃を行う踏み台として利用されることもあり得ます。生産プロセスにおいて多数の取引先や会社が関わるサプライチェーンは、常にサイバー攻撃の標的になる危険にさらされているのです。

高度なセキュリティ対策は、コスト面で難しいものがあるとはいえ、信用低下など、攻撃を受けた時のリスクを考えると不可欠です。ネットワークの侵入をしっかりと防御できるIPSの導入を検討するばかりではなく、取引先となっている企業全体への呼びかけと教育を徹底しましょう。


『月刊人事マネジメント』事例掲載
「人事評価制度見直し」決断する前にやること

RELATED POST関連記事


RECENT POST「セキュリティ関連ブログ」の最新記事


深刻化するサプライチェーン攻撃のリスク、必要なセキュリティ対策とは