企業がビジネスを展開するにあたり、さまざまなサービスを供給するサプライヤーの協力は欠かせないものの一つでしょう。しかし、そういったビジネスパートナー、取引先企業などのセキュリティ面までを把握できている、という方はどれくらいいるでしょうか。
Accentureの調査(PDF)によると、ビジネスパートナー企業のサイバーセキュリティ取り組み状況を把握している日本の企業や経営者は、わずか14%。世界平均の29%の半分にも満たないことがわかりました。
企業経営者がサプライヤーのサイバーセキュリティ状況を把握できていないことは、自社に悲惨な結果をもたらす可能性があります。Accentureは、約7割の企業がサプライチェーンを通じたサイバー攻撃に対して特に脆弱であると伝えています。
例えば、SolarWindsの管理ソフト経由で米連邦政府機関や大手企業が被害を受けたサイバー攻撃は、アメリカ政府だけを狙ったものではありませんでした。しかし、アメリカ、ヨーロッパ、中東の1万8000の企業や機関に影響を与え、サプライチェーン関連では過去最大規模の攻撃となりました。
日本の例としては、ウイルス対策業者に起因する脆弱性を利用した、2019年の三菱電機の情報漏えい事件があります。
また、同年アメリカでは、1億1000万人の顧客のクレジットカード情報が漏えいした、小売業大手Targetへのサイバー攻撃事件もありました。冷暖房を供給する1企業への攻撃から始まり、たった1つのサードパーティープロバイダーが漏えいのきっかけとなってしまいました。
サプライチェーン攻撃を非常に陰湿にしている理由は、ハッキングされる直接的な境界は強化しているものの、悪意のある攻撃者はパートナーやプロバイダーに許可された認証情報という「鍵」を盗み、大胆にもITインフラの「正面玄関」から侵入してくることです。隣人の木が自分の家の屋根を突き破って倒れてくるように、侵入に関する落ち度は被害者にはありません。しかし、コントロールできないどこかから攻撃され、最悪の被害を受ける可能性があります。
米ソ冷戦時代、ワシントンのモットーは「Trust but verify(信頼しつつ検証する)」でした。しかし、今日のサプライチェーンにおけるサイバー脅威に対しては、このポリシーでさえも甘すぎると言わざるを得ません。境界線の内外を問わず、何かを自動的に信用すべきではないという信念に基づいた、“ゼロトラスト”という考え方とビジョンが必要です。システムへのアクセスという形で信頼を与える前にすべてを検証するというもので、すべての個人、管理者アカウント、アプリケーション、ボット、プロセスのIDを検証し、強固なガバナンスで管理する必要があります。