複雑化するサプライチェーンを狙うサイバー攻撃、リスクを解消する方法とは？

企業が海外を含めてさまざまな拠点を構えるようになり、海外子会社やパートナー、業務委託先など複数の組織同士が連携してビジネスを進める時代になりました。こうした環境を標的にする形で、海外子会社や委託先とのサプライチェーンへのサイバー攻撃が増えており、企業にとって新たな脅威となっています。

2010年10月、ラックは企業のサプライチェーンリスクの管理を支援するため、SOMPOリスクマネジメント社と協業し、サプライチェーンリスク評価サービス「Panorays」の提供を始めました。ここでは、SOMPOリスクマネジメント社のウェブサイトから、Panorays Ltd.のCTO（最高技術責任者）であるDemi Ben-Ari氏のコラム『サプライチェーンを悪用した大規模サイバー攻撃　5つの対策』を紹介します。サプライチェーンリスクへの対策を検討する上で、以下のコラムを参考にしてもらえれば幸いです。

おそらく、既に皆さんはIT管理の製品を手掛けるSolarWinds社の製品を悪用した大規模なサイバー攻撃の話をニュースなどで耳にしているのではないでしょうか。近年のサプライチェーンを標的とした攻撃の中でも記憶に残る規模の攻撃と被害が報告されています。騒動がひと段落した今、何が起こったのか、そしてこれから取るべき対策をここにまとめます。

攻撃者グループは、ロシア人であると言われています。

簡単に言えば、ハッカーはOrionと呼ばれるSolarWinds社製のネットワーク管理アプリのアップデートにマルウェアを埋め込み、Orionユーザがアップデートを行うと感染するという仕組みです。その結果、米財務省、米国土安全保障省、米国のサイバーセキュリティ企業FireEyeなどを含む18,000に及ぶ組織が侵害された可能性があると考えられています。FireEyeでは今回の侵害により自社が開発した複数のレッドチームツールが盗まれたと公表しています。

今こそ、自己点検を実行する好機です。

よく考えてみて下さい。

全ての組織はSolarWinds社の製品の利用の有無にかかわらず、例外なくサプライヤを介した侵害の恐れがあります。つまり、重要なのは、組織がサイバーレジリエンスを強化し、インシデントに見舞われても即時回復を目指すためには何が必要かを理解することです。
SolarWinds社側の対応も含め、今回の事例からは多くのことを学ぶことができると考えています。

考慮すべき5つの重要な対策は次のとおりです:

1．サードパーティ、フォースパーティに対する可視性の確保

まさかと思われるかもしれませんが、接続しているすべてのサプライヤを把握・管理できている組織は多くはありません。把握できていないとどうなるかと言うと、実際にデータ侵害が発生した場合、深刻な問題が生じます。把握できていれば、侵害の連鎖が起こりかねないサプライヤに迅速に警告することで、侵害の範囲をより適切に制御することができるのです。

2．担当者・連絡先の把握

もう1つの非常に重要なのに、しばしば見落とされがちな考慮すべき項目は何でしょう？
サプライヤとの連絡方法です。侵害が発生した場合に迅速に連携するには、自組織内の担当者はもちろんのこと、各サプライヤの連絡先情報も常に更新しておくことが不可欠です。連絡先情報は、通常のサードパーティのセキュリティリスク管理の一環としてメンテナンスを随時行う必要があります。サプライヤの連絡先だけで充分と思われがちですが、自組織内の誰がそのサードパーティを担当しているのかを把握しておく必要もあります。

3．Kill-Switchの準備

キルスイッチとはレーシングカーやオートバイについている、緊急時に燃料や電力の供給を遮断しエンジンを緊急停止させる装置で、事故や転倒の際に火災などの二次被害を防ぐ役割を果たします。
SolarWinds社製品を悪用した侵害が発覚した後、FireEyeによる分析を基にドメインレジストラのGoDaddyとMicrosoftはマルウェアの活動を停止させる「キルスイッチ」を作成し、サイバー攻撃による悪影響の一部を軽減することに成功しています。同様に、組織としてはサプライヤごとに同様のキルスイッチのような概念の戦略を導入し、その実装方法に関する文書と知識の拡充をお勧めします。この戦略は、各サプライヤとのビジネス上の関係性に基づいている必要があります。

4．自動化の必要性

システム侵害の可能性について、数百、あるいは数千ものサプライヤに通知する必要がある場合、スピードが鍵となります。これを実現するための唯一の実用的な方法は、サードパーティおよびフォースパーティに問題を迅速に警告し、修復のためのステップを提供できる自動化されたソリューションを使用することです。逆に言えば、サプライチェーンのセキュリティリスク管理が手動プロセスに依存している場合には、問題となります。

5．継続的な監視と最新情報

サイバー脅威は絶えず変化し、進化しているため、都度柔軟に対応する必要があります。さらに、組織側も常に変化しており、サイバー攻撃に対して脆弱な可能性のある新しいソフトウェアや技術が導入されています。これらの理由から、サプライチェーンのセキュリティリスク管理には、課題を特定するための継続的なモニタリングが含まれていることが不可欠です。

これらの戦略はすべて、総合的なサプライチェーンのセキュリティリスク管理には不可欠な要素です。SolarWinds社製品の侵害から最終的にどのような影響が出るかはまだわかっていませんが、現行のサプライチェーンのセキュリティリスク戦略と管理体制を見直して、できるだけレジリエンスを強化しておくことは後々のメリットとなることは確実です。

ラックがサプライチェーンのリスク管理を自動化します

PanoraysのBen CTOによるサプライチェーンを悪用した大規模サイバー攻撃5つの対策はいかがでしたか。今後IoTの進展で、サプライチェーン内の組織間はさらに結びつくと言われています。対策の弱い拠点がサイバー攻撃を受けて深刻なインシデントが発生する前に、サプライチェーンリスク対策を考える際はぜひお声がけください。

オンラインセミナー

5月26日（水） 15:00 - 17:00
【無料ウェビナー】サプライチェーン・サイバーリスク DAY
～今日から始めるグループ・取引先のサイバーリスク管理

サプライチェーンに関する課題を持つ方に向けて、対策を検討する上でのポイント、ベストプラクティスなどをお伝えするオンラインセミナーを開催いたします。ご興味のある方はぜひご参加ください。

終了しました。たくさんのお申し込みありがとうございました。