本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。
2020年春、新型コロナウイルス感染症の流行(パンデミック)に伴い、企業向け、消費者向けを問わず、さまざまな物資が供給不足に陥った。パンデミックによる世界的な供給網の遮断を受け、需要を満たす供給ができないサプライチェーンリスクが顕在化した。企業向けITの世界においても、テレワーク需要の急速な高まりから、VPN装置をはじめとしたネットワーク機器の供給不足が大きく話題となった。これらは需要と供給の観点のものだが、近年サイバーセキュリティの世界においてもこの「サプライチェーンリスク」が深刻なものになっている。
一般的にサプライチェーンリスクとは、組織内外で発生する要因により、計画通りに需要を満たす供給ができなくなるリスクを指す。サイバーセキュリティの世界では、部品や製品、サービスの供給元や組織の利害関係者の過失、故意により発生し得るセキュリティ上のリスクを指し、「サイバーサプライチェーンリスク」とも呼ばれている。サプライチェーンと一口に言っても、グループ企業や業務委託先、製品・部品供給元、仲介業者、メーカー、サービス事業者など多岐にわたる。
情報処理推進機構(IPA)が毎年公開している「情報セキュリティ10大脅威」においても、サプライチェーンリスクは2019年版で初めてランク入りし、3年連続で上位に挙げられている。サプライチェーンに存在する弱点や課題によって誘発されるサイバーリスクの高まりが、近年急速に顕著になっているとうかがえる。
サプライチェーンリスクの高まりは標的型サイバー攻撃から
サイバーセキュリティの世界におけるサプライチェーンリスクは、ここ数年で突然登場したものではない。世界的にも大きく話題になったのは、2011年に発生した米国防衛産業に対するサイバー攻撃だろう。二要素認証に関する技術情報がベンダーから窃取され、攻撃に悪用された。利用者の観点では自社環境がリスクにさらされる危険性がある一方、ベンダー側はセキュリティトークンを回収する事態に追い込まれた。
軌を一にして、国内でもサプライチェーンリスクが大きく話題になったのは、機密情報の窃取を目的とした標的型攻撃が台頭し始めた2011年以降だ。本丸である大手企業や官公庁への攻撃を行う前段階として、セキュリティ対策が比較的甘い取引先やグループ企業、関係組織を侵害し踏み台にする攻撃手法だ。これらの組織は、標的となる組織に対して攻撃を行う上での情報収集や、相手を信じ込ませるためのなりすましメールの精度向上といった意図で踏み台にされた。
まるで時限爆弾式とも言えるサイバー攻撃によって、2013年には韓国のテレビ局や金融機関が標的となり、テレビ放送やATMのサービスが不能に陥る被害を受けた。数万台規模のPCを一斉に操作不能にすることが目的で、そのための破壊的なマルウェアの配布に、韓国製の資産管理ツールが使われた。2020年に明らかになった日本国内の大手製造業に対するサイバー攻撃でも、エンドポイントセキュリティ製品の管理ツールが悪用されたが、決して真新しいものではなく、類似の攻撃は10年近く前に既に存在していた。組織内の業務端末を一元的に管理するためのツールという特性上、高いアクセス権限を持っていることが逆手に取られた点が特徴だ。
データの価値を裏付けた委託先経由のサイバーリスク
2013年には、もう一つ深刻なサイバー攻撃による事故が発生した。米国の大手小売業で発生した大量のクレジットカード情報の漏えいだ。商品の在庫管理や顧客の購買行動分析にも使われ、小売業の生命線ともいえるPOSシステムが狙われた。この事故では、店舗設備の管理で出入りしている外部委託業者のITシステムが踏み台となって被害につながった。この当時は、「プリンターのメンテナンス業務で出入りする委託先業者の端末がマルウェア感染している危険性もあり得る」といった話をしても、多くの人がピンと来ない時代だった。クレジットカード裏面の磁気ストライプの部分からカード情報を読み取る脆弱な仕組みが狙われたものだが、米国を中心に小売業やホテルで続々と被害が明らかになり、結果的にPOSシステムのICチップ対応が進んだ。
米国大手小売業のケースのように、2014年には、日本でも通信教育大手で発生した顧客情報の漏えい事故において「外部委託先」のセキュリティリスクが問題となった。大量の個人情報を名簿業者に売ることで金銭的利益を得ることを狙ったものだが、個人情報をはじめとしたデータに市場価値があることを広く認知させた事故ともいえる。顧客情報の管理業務が委託先で運用されている中、システムの保守業務を請け負う再委託先の派遣社員が行ったもので、国内企業の多重下請け構造に起因するリスクを浮き彫りにした。