サプライチェーン攻撃は、セキュリティ性が確保されていない中小規模の企業や組織に狙いを定めています。セキュリティ基盤がない、セキュリティ体制が確立していないのであれば、何をすべきか把握し、対策を講じましょう。
今回はサプライチェーン攻撃に関する基礎知識、セキュリティ基盤がない場合に導入すべき技術、そしてセキュリティ基盤がない場合に知っておくべき考え方についてお話します。

サプライチェーン攻撃に関する基礎知識

はじめにサプライチェーン攻撃に関する基礎知識について簡単に説明します。

サプライチェーン攻撃とは

サプライチェーン攻撃とは、ターゲットや標的として定めた企業および組織を直接的に狙うのではなく、関連する取引先や顧客、従業員などを経由して、間接的にサイバー攻撃を行う手法です。
セキュリティへの投資を行っていない、もしくは行えないような規模の小さい取引先を経由することで、セキュリティへの投資を行っている企業や組織に攻撃する形です。
現実的にも企業や組織の規模、人数、売上によっては、セキュリティに投資および注力することは難しいこと、なりすましや乗っ取りによって、その先の大手企業を騙せることから悪い意味で効果的な手法とも言えます。

サプライチェーン攻撃による被害・リスク・脅威

サプライチェーン攻撃は、なりすましや偽装、フィッシング、マルウェア感染などあらゆるサイバー攻撃と組み合わせることができます。そのため、情報漏えいやデータ改ざん、デバイスや権限の乗っ取りなど「本来であれば防げた脅威」による被害を受けてしまう可能性が高いです。
実際に取引先から、前後のやり取りに関連するような添付ファイルやURLが送られてきた場合、仕事だと思えば安易に開いてしまう可能性が高まります。仮に開いてしまったとしても、その場ですぐにマルウェアの感染やフィッシング詐欺だとは気付きにくいため、被害が拡大しやすく、認識や検知しにくいのです。

急なデジタル化や電子化を進めている場合は要注意

サプライチェーン攻撃はセキュリティ基盤や体制がない企業や組織だけでなく、オンライン化やペーパーレス化、デジタル化を急激に進めている企業や組織も狙っています。セキュリティ体制が整っていないのに、オンライン・インターネットにつなげてしまうことで、無防備な状態のまま攻撃されてしまうのです。
DXの推進をしなければ企業や組織として存続できないという焦りもあるかもしれませんが、DX推進の前にセキュリティ基盤を構築すること、セキュリティ体制を整えることから始めましょう。もし、セキュリティに注力しないままだと、取引先の企業や組織に迷惑がかかり、信用を失い、利益や売上を大幅に失ってしまうということを覚えておいてください。

セキュリティ基盤がない場合に導入すべき技術

次にセキュリティ基盤がない場合に導入すべき技術について解説します。

IT資産管理および情報資産管理

セキュリティ基盤とは「ウイルス対策ソフトをインストールするだけ」ではありません。IT資産管理や情報資産管理の技術、仕組みによって、OS・ソフトウェア・デバイス・ネットワークのリモートによる一元管理と監視することを意味します。
これらは企業や組織の規模、人数、売上によらず、どれもが小さくて少なくても導入し、維持運用することが必須です。DX推進が注目されている今だからこそ、セキュリティにしっかりと注力しなければ、「セキュリティが低いから取引を打ち切る」という可能性があることを考慮しておきましょう。

社内や組織内のネットワークやファイルへのアクセス制限および制御

ネットワークやファイルへのアクセス制限および制御も大切です。許可したデバイス以外アクセスできないようにしておくこと、個人情報や機密性の高いファイル・データに誰でもアクセスできないようにしておくことが挙げられます。
現実問題として、外部からのサイバー攻撃だけがセキュリティリスクではありません。内部の従業員による「内部不正によるリスク」も存在するからです。同様に悪意はなくても、うっかりミスやヒューマンエラーによる情報漏えいも考えられます。前項の一元管理や監視による体制によって、内部不正も含めたセキュリティ対策を行いましょう。

クラウドを利用して実体ファイルの送受信を廃止

サプライチェーン攻撃は添付ファイルを介したマルウェア感染、もしくはフィッシングサイト、詐欺サイトへの誘導が感染源になることがあります。クラウドを利用して実体ファイルの送受信を廃止することで、添付ファイルからの感染や攻撃の対策をすべきです。もしくは、暗号化・復号化できる技術を導入し、適切な手順を踏まなければファイルを開けないようにしておくと、不審なファイルを安易に開いてしまう可能性を低減できます。
フィッシングサイトや詐欺サイトに関しても、WebフィルタリングやWeb閲覧履歴の取得、監視によって対策を行いましょう。基本的にはインターネット閲覧や事業活動に必要な作業・業務を行うデバイスおよびネットワークを分離しておくことをおすすめします。

セキュリティ基盤がない場合に知っておくべき考え方

次にセキュリティ基盤がない場合に知っておくべき考え方をご紹介します。

ID・パスワードの管理など基本的なセキュリティリテラシーの教育

サプライチェーン攻撃も含めて、セキュリティ基本であるID・パスワード管理などのセキュリティリテラシーの教育は必須です。その他にも不用意、安易に添付ファイルを開かない、勝手にUSBメモリなどにデータを移動しない、私物のデバイスを社内のWi-Fiにつながないなど、セキュリティリスクを排除するという視点を持ちましょう。
もちろん、業務上必要であれば、USBメモリによるデータの移動、BYODによる私的デバイスの利用を行っても構いません。ただし、USBメモリの管理、ファイルへのアクセス権限を定めたり、私的デバイスにおいても遠隔で管理や監視ができる仕組みの導入を前提にしておくことを忘れないでください。

作業手順や業務の流れにあるセキュリティリスクの把握と改善

サイバー攻撃の中には「普段と変わりない操作」に狙いを定めているものがあります。前述した添付ファイルを開いてしまうのも、普段と変わりない操作だからこそ、何も考えずに開いてしまうのです。
そのため、作業手順や業務の流れにあるセキュリティリスクを把握し、改善することでセキュリティを強化できます。どのような作業手順であり、業務の流れであるかを把握すること、把握していないやり方が存在していれば、禁止や排除することを徹底してみてください。

「小さい会社だから、関係ないだろう」という思い込みを捨てること

セキュリティに投資しない理由として「小さな会社だから、関係ないだろう」と考えてしまうことがあります。たしかに、サイバー攻撃や内部不正など、対岸の火事であり、自社とは無縁であると「思いたい」気持ちがあるのも否めません。
しかし、悪意のある第三者からすれば、企業や組織の規模は関係ないのです。大手有名企業の取引先や顧客をリストアップした上で、機械的かつ自動的にサイバー攻撃を行ってきます。サプライチェーン攻撃の標的が「小さな会社」ということではなく「セキュリティが甘い会社」を狙っているということをしっかりと理解しておきましょう。

まとめ：取引先や顧客に間接的でも被害が出れば信頼と売上を失うことを理解しておこう