英国家サイバーセキュリティセンター(National Cyber Security Centre:NCSC)は現地時間10月12日、企業に対して自社のサプライチェーンを攻撃から守るための新たなガイダンスを公開した。
提供:Getty Images
NCSCによると、これは最近のサプライチェーン攻撃の増加を受けてのことであり、企業は自己防衛に向けてより一層の取り組みを必要としているという。
近年注目されたケースとしては、SolarWindsのソフトウェアビルドシステムに対する2020年の攻撃や、ソフトウェアベンダーKaseyaの顧客に対する2021年のランサムウェア攻撃、ウクライナの会計プログラムを介した2017年の「NotPetya」攻撃などが挙げられる。また、Joe Biden米大統領が同国のサイバーセキュリティ対策の強化を目指す大統領令の起草を指示したのは、SolarWinds製品の一件が起きた直後のことだった。
NCSCは2021年2月に「パイプラインの防衛」に関する文書を公開し、組織や開発者らに対してソフトウェア開発をCI/CD(継続的インテグレーション/継続的デリバリー)によって自動化するよう強く促していた。
また、NCSCの最高責任者は2021年10月に、ランサムウェアが最も差し迫った脅威だとする一方で、サプライチェーンの脅威は何年も続くだろうと警告していた。
そしてNCSCは今回のガイダンス公開を発表する中で、その目的が中規模以上の組織に対して、「サプライヤーとの連携におけるサイバーリスクを検証し、緩和策が講じられているという確信を得られる」よう支援するところにあると述べている。
「今回のガイドラインの公開は、SolarWinds製品への攻撃に代表されるような大事件を含む、サプライチェーン内の脆弱性に起因するサイバー攻撃がここ数年で著しく増加している事態を受けたものだ」(NCSC)
またNCSCは、サイバーセキュリティプロフェッショナルやリスク管理者、調達関連の専門家が、同機関によって定められたサプライチェーンのセキュリティ強化に向けた12の原則を実践するよう求めてもいる。
サプライヤー関連のセキュリティをチェックしている英国企業はそう多くない。英国政府の「Cyber Security Breaches Survey 2022」(2022年のサイバーセキュリティ侵害調査)によると、企業規模の大小を問わず、半数以上がITやサイバーセキュリティをサードパーティーにアウトソーシングしているという。しかし、直接関与しているサプライヤーによってもたらされるリスクを評価している英国企業は13%にとどまっている。こうした回答者らは、サイバーセキュリティが調達業務における重要なファクターではないと答えていた。
NCSCの政府サイバーレジリエンス担当副長官であるIan McCormack氏は「サプライチェーン攻撃は、組織が直面している深刻なサイバー脅威であり、インシデントの発生は企業や顧客に多大かつ長期的な影響を及ぼすおそれがある」と述べている。
「インシデントが増加している中、組織はサプライヤーと協力し、サプライチェーンのリスクを洗い出し、適切なセキュリティ対策を確実に講じておく必要がある」(McCormack氏)
このガイダンスは5つの段階に分かれており、組織がサプライチェーンのサイバーセキュリティを重視すべき理由や、アプローチを確立する中での「重要資産」の洗い出しと保護、新規サプライヤーに対する該当アプローチの適用、既存サプライヤーとの契約への該当アプローチの反映、継続的な改善活動などが網羅されている。
米国の諜報機関である米国家安全保障局(NSA)は9月に、開発者を具体的対象にしたサプライチェーンガイダンスを公開している。また米行政管理予算局(OMB)も同月、新たなソフトウェア調達ガイドラインを公開している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
