編集部からのお知らせ
記事まとめ「サードパーティークッキー問題」公開
記事まとめ読み:GIGAスクール
スマートシティーのセキュリティを考える

サプライチェーンで考えるセキュリティリスク管理と責任共有モデルの可能性

佐々木弘志 (マカフィー)

2021-05-14 06:00

 2021年5月7日、米国最大手の石油移送パイプライン会社のColonial Pipeline Companyは、何者かによりサイバー攻撃を受け、パイプラインの操業を一時的に停止したと発表した。メキシコ湾岸の製油所と米国東部を結ぶ全長8850kmにも及ぶこのパイプラインは、東海岸の石油消費量の約45%を供給しているとされ、石油価格の高騰のみならず、複数の主要な国際空港の燃料供給など、他のインフラへの連鎖的な影響も懸念されている。

 今回のサイバー攻撃については、まだ不明点が多いものの、PCやサーバー内のデータを暗号化した後に、解除・復旧する代わりに身代金を要求する「ランサムウェア」による攻撃とされている。ランサムウェアに感染したPCやサーバーは正常に動作しなくなるため、パイプラインの操業を停止せざるを得ない事態になったと考えられる。すなわち、今回のランサムウェアは、単にデータを暗号化して使えなくしただけでなく、結果として、パイプラインの操業機能、すなわち社会インフラの機能そのものを人質に取って身代金を要求している点が特徴である。

 米国では、2021年2月24日に、Joe Biden大統領が、重要な製品・材料における米国のサプライチェーンのレジリエンス(回復力)を強化するための「米国サプライチェーンに関する大統領令」に署名しており、その内容には、サイバー攻撃も含めた不測の事態が発生した時の重要設備のサプライチェーン強靱(きょうじん)性の評価を行うことが含まれていた。今回のサイバー攻撃の目的は明らかになっていないものの、結果として、石油サプライチェーンの大元の供給を断ち切られてしまったことにより、大統領令で示された懸念が現実になったといえる。

 日本では、長期化するコロナ禍の影響で、あらゆるシステムのリモート化、自動化が加速し、「つながる社会」が進展しているにもかかわらず、米国ほどの重要インシデントが発生していないこともあってか、サプライチェーンのセキュリティリスク管理の議論は、あまり盛り上がっていないように感じる。しかし、本連載で扱っているスマートシティーのデータ活用においても、「都市OS」を中心としたシステム基盤に、複数のサービスプロバイダーが参加するマルチステークホルダーの形態をとっていることから、サプライチェーンのセキュリティリスク管理は、避けては通れない問題である。今回は、最近のサプライチェーンリスク管理のソリューションの傾向を踏まえて、スマートシティーにおけるサプライチェーンのセキュリティリスク管理と責任共有の在り方について考察する。

サプライチェーン内のセキュリティリスク管理ソリューション例

 ここでは、最近のサプライチェーンリスク管理のソリューションの例を2つ紹介する。1つ目は、取引先の「組織」のセキュリティリスクをスコアリングして管理するソリューションである(図1)。評価対象の組織のセキュリティリスクについて、インターネット上のさまざまな手法で収集した結果をリスクスコアという形で可視化したものである。


図1.サプライチェーンリスクの組織のスコアリング管理の例(Bitsightのダッシュボード/テリロジーワークス資料より

 この例では、企業グループの個々の企業のリスクスコアを評価した後に、それらを集約してグループ全体のセキュリティリスクをスコア化した結果、リスクの高さの指標が900点満点の530点と評価されている(中程度のリスク)。リスクスコアの活用方法としては、取引先の継続的なセキュリティリスクの可視化、買収対象企業のセキュリティリスク可視化・比較などが挙げられる。スコアそのものよりも、時間経過による変化の傾向や、複数対象のスコア比較においてその効果を発揮する。

 2つ目は、取引先の「ソリューション」のセキュリティリスクをスコアリングし、管理するソリューションである(図2)。この例は、さまざまなクラウドサービス(SaaS)のセキュリティリスクを、幾つかのカテゴリーに分けた評価項目によって、スコアリングしたものである。

 例えば、ソリューションそのもののセキュリティ対策の有無(クラウド上のデータは暗号化保存されているかなど)、組織セキュリティ管理体制(情報セキュリティマネジメントシステム認証の取得状況)、契約書内に法的係争時の裁判所が明示されているかなど、さまざまなセキュリティに関するリスクを評価対象としている。このソリューションは、情報システム部が、組織内で利用してよい外部のクラウドサービスを判断する際の指標として用いられている。また、複数のクラウドサービスを比較する際に、リスクスコアだけでなく、個々の評価項目の内容にまで踏み込んで判断に活用する場合もある。


図2.サプライチェーンリスクのサービスのスコアリング管理の例(McAfee資料より)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    最先端のデータサイエンティストでいるための5つのヒント—AIによる高度化でデータの達人であり続ける

  2. ビジネスアプリケーション

    経理部門 554人に聞いた「新しい経理部門の働き方」 その実現に向けた具体的な行動指針を解説

  3. セキュリティ

    パンデミックに乗じたサイバー攻撃に屈しない 最新の脅威分析レポートに見る攻撃パターンと対応策

  4. 運用管理

    DX時代にIBM i は継続利用できるのか? モダナイゼーション実施で考えておくべき5つの視点

  5. セキュリティ

    サイバー攻撃でPCに何が起きている? サイバーディフェンス研究所の名和氏が語るフォレンジックのいま

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]