自社だけでは不十分--取引先を経由した攻撃のリスクと確認すべき5つの方法

Rajiv Sagar (Avanade)

2021-06-21 07:15

 企業がビジネスを展開するにあたり、さまざまなサービスを供給するサプライヤーの協力は欠かせないものの一つでしょう。しかし、そういったビジネスパートナー、取引先企業などのセキュリティ面までを把握できている、という方はどれくらいいるでしょうか。

 Accentureの調査(PDF)によると、ビジネスパートナー企業のサイバーセキュリティ取り組み状況を把握している日本の企業や経営者は、わずか14%。世界平均の29%の半分にも満たないことがわかりました。

 企業経営者がサプライヤーのサイバーセキュリティ状況を把握できていないことは、自社に悲惨な結果をもたらす可能性があります。Accentureは、約7割の企業がサプライチェーンを通じたサイバー攻撃に対して特に脆弱であると伝えています。

 例えば、SolarWindsの管理ソフト経由で米連邦政府機関や大手企業が被害を受けたサイバー攻撃は、アメリカ政府だけを狙ったものではありませんでした。しかし、アメリカ、ヨーロッパ、中東の1万8000の企業や機関に影響を与え、サプライチェーン関連では過去最大規模の攻撃となりました。

 日本の例としては、ウイルス対策業者に起因する脆弱性を利用した、2019年の三菱電機の情報漏えい事件があります。

 また、同年アメリカでは、1億1000万人の顧客のクレジットカード情報が漏えいした、小売業大手Targetへのサイバー攻撃事件もありました。冷暖房を供給する1企業への攻撃から始まり、たった1つのサードパーティープロバイダーが漏えいのきっかけとなってしまいました。

 サプライチェーン攻撃を非常に陰湿にしている理由は、ハッキングされる直接的な境界は強化しているものの、悪意のある攻撃者はパートナーやプロバイダーに許可された認証情報という「鍵」を盗み、大胆にもITインフラの「正面玄関」から侵入してくることです。隣人の木が自分の家の屋根を突き破って倒れてくるように、侵入に関する落ち度は被害者にはありません。しかし、コントロールできないどこかから攻撃され、最悪の被害を受ける可能性があります。

 米ソ冷戦時代、ワシントンのモットーは「Trust but verify(信頼しつつ検証する)」でした。しかし、今日のサプライチェーンにおけるサイバー脅威に対しては、このポリシーでさえも甘すぎると言わざるを得ません。境界線の内外を問わず、何かを自動的に信用すべきではないという信念に基づいた、“ゼロトラスト”という考え方とビジョンが必要です。システムへのアクセスという形で信頼を与える前にすべてを検証するというもので、すべての個人、管理者アカウント、アプリケーション、ボット、プロセスのIDを検証し、強固なガバナンスで管理する必要があります。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. セキュリティ

    Microsoft Copilot for Security--DXをまい進する三井物産が選んだ理由

  5. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]