サイバー攻撃の手口は年々複雑化し、その損失は拡大の一途を辿っています。中でも「サプライチェーン攻撃」による被害の深刻化が目立ってきています。
サプライチェーン攻撃とは、サプライチェーン上のグループ会社や取引先、委託先企業などを経由して大企業にサイバー攻撃を仕掛ける手法です。大企業にしてみれば、自社のセキュリティ対策を万全にしてもなお脅威にさらされるので非常にやっかいな攻撃となります。
そして、サプライチェーン攻撃への対処は、グループ会社や委託先を巻き込んだ対応が必要なため、多くの時間と労力がかかってきます。しかし、セキュリティ人材が不足していると言われている今、企業ではこの脅威へ根本的な対応をするのが困難な状況となっています。
そこで本記事では、このサプライチェーン攻撃に関する昨今の課題や、近年注目されているサプライチェーン攻撃へ対策するために有用なソリューションである「SRS(Security Rating Services:セキュリティ評価サービス)」についてご紹介します。
サプライチェーンの弱点を悪用した攻撃の高まり
IPA(情報処理推進機構)が毎年公開している「情報セキュリティ10大脅威2019」の組織部門で、昨年までランク外だった「サプライチェーンの弱点を悪用した攻撃の高まり」が新しく4位にランクインしました。
図. 情報セキュリティ 10大脅威 2019
(出典:https://www.ipa.go.jp/security/vuln/10threats2019.html)
サプライチェーンとは、原材料が調達されてから商品が消費者に渡るまでの生産・流通プロセスのことであり「原材料/部品調達 ⇒ 生産 ⇒ 物流/流通 ⇒ 販売」という一連のプロセス連鎖のことを指します。
これを会社の流れにおきかえると「サプライヤー ⇒ メーカー ⇒ 物流事業者 ⇒ 卸売事業者/小売事業者」となり、サプライチェーン攻撃とは、このような連鎖する各社のセキュリティ上の弱点を悪用して、大手企業などにサイバー攻撃を仕掛ける手法です。
つまり、自社内のみでセキュリティ対策をいくら徹底しても不十分であり、自社と連鎖するグループ会社や委託先の組織がセキュリティ対策を適切に実施していない場合、自社へのサイバー攻撃の足掛かり(弱点)として狙われる恐れがあります。
実際に、グループ会社や委託先の組織へ攻撃されたことがきっかけで、「個人情報の漏洩」、「システム・サービスの障害・遅延・停止」、「情報システム・機器の不正使用」、「ウェブページ等の改ざん」、「データの毀損・消失」などの被害が多数報告されています。
特定の業務を外部組織に委託している以上、この外部組織もサプライチェーンの一つとなり、製品やサービスの提供に大きな影響を及ぼし、最悪の場合はサプライチェーンが寸断され製品やサービスの供給ができなくなるなど経営リスクも考慮しておく必要があるでしょう。
サプライチェーンリスク管理の重要性|情報は「委託先」から漏れる
サプライチェーン攻撃へ対策する上で課題は作業工数
サプライチェーンの弱点を悪用した攻撃の高まりから、昨今ではサプライチェーン全体でのセキュリティ対策・管理は欠かせないものとなっており、セキュリティの観点での「サプライチェーンリスクマネジメント(Supply Chain Risk Management : SCRM)」の重要性が高まっています。
サプライチェーンリスクマネジメントとは、サプライチェーンに影響を与えるさまざまなリスクを特定・分析・評価し、リスクを減らす対策を継続的に実行・管理していくプロセスのことです。
具体的には、グループ会社や委託先の各社へExcelのセキュリティチェックシートを配布し、回答してもらって分析・評価する「アンケート調査」、あるいはグループ会社や委託先に実際に訪れて、現場調査やセキュリティ担当者にヒアリングする「実地監査」をするのが一般的に多くの企業では行われています。
しかしながら、数百や数千もの外部組織に対して、Excelのチェックシートをメールで送付し、回答を分析・評価していくことや、現場調査することを毎年実施するのは、多大な作業工数が掛るため、多くの企業ではこれらの調査を継続的に実施することが適切にできていないのが現状です。
さらに、これらの調査方法は、調査対象の外部組織との調整が必要不可欠であるため、近年のサプライチェーン攻撃の流行を踏まえて、いざ対策に取り掛かろうとしても、調整ができず対策が進められないケースもあります。
仮に協力を得られたとしても、アンケート調査や実地監査への回答は、「回答基準」を明確に定義しておかないと、担当者により回答の粒度がばらばらの「主観的な回答」になってしまい、適切な評価ができないという課題もあります。
このように、労働集約的なアンケート調査や実地監査による調査方式に頼ったサプライチェーンリスクマネジメントでは、「人手がかかりすぎるため継続的に実施できない」、「調整が必要であり迅速に評価できない」、「担当者の主観的な回答になる」といったさまざまな課題があります。セキュリティ人材が不足している今、これらの方法のみで多数の子会社や委託先などに対して、サプライチェーンリスクマネジメントを実施していくことは現実的に不可能となってくるでしょう。
サプライチェーン攻撃の対策に有効なSRS(セキュリティ
評価サービス)のメリット
これらのような「外部組織のセキュリティ管理」という課題に対して、有効なソリューションとして、昨今注目されているのが、「SRS(Security Rating Services:セキュリティ評価サービス)」です。
このソリューションは、ガートナー社の2019年にて取り組むべきセキュリティプロジェクトのトップ10にもランクインしています。
SRSとは、独立したサードパーティのセキュリティ専門会社(SRSベンダー)が、企業が所有するインターネット上に公開されている大量の「デジタル資産」を評価・分析し、セキュリティ対策状況に関して「得点」や「ランク」などの定量的な指標で企業のセキュリティ評価を実施してくれるサービスになります。
SRSを活用するメリットとしては、次のようなことが挙げられます。
- 大量データの収集と評価が自動更新されるため、『作業負荷がない継続的な評価』ができる
- 対象システムに負荷をかけず、運用にも影響が無いため『調整不要で迅速に評価』ができる
- 独立した立場の格付けサービスのため、『網羅的で客観的な評価』ができる
それぞれについて補足します。
1.作業負荷がない継続的に評価できる
自動更新の頻度は、一日に一度インターネット上の大量の公開データを収集して評価するため、リアルタイムにその企業の評価や改善結果を確認できるのが特徴です。
2.調整不要で迅速に評価できる
次に、2の『調整不要で迅速に評価』ができるという点についてです。ペネトレーションテストやアプリケーション診断などでは、診断のために意図的に大量のアクセスをしたり、攻撃コードをWebサイトに仕掛けたりすることがあります。そのため、本番システムへの影響を考慮して、実施前に関係者と調整をするなど、実際に評価をするまでには長いリードタイムが必要になります。
SRSではそのような挙動をせずに、インターネット上の公開情報のみを活用して評価するため、本番システムへ影響を与えることはありません。そのため、関係者との調整をせずに、迅速に企業のセキュリティ評価ができます。従来の診断などに比べると、評価結果は簡易なものにはなりますが、サプライチェーン全体のリスクの概観を把握するには、充分でしょう。
3.網羅的で客観的に評価できる
前述したように、アンケート評価などでは回答する担当者の「主観」が入るので、評価結果が回答者によってまちまちになることがあります。しかし、SRSでは、独立した立場のSRSベンダーがシステマティックな評価を一律に実施するので、別企業であれど、同じ「ものさし」で客観的な評価結果が得られるのが特徴となっています。
このように、SRSでは従来型のアンケート調査や実地監査の「人手がかかるため継続的にできない」、「調整が必要であり迅速に評価できない」、「担当者の主観的な回答になる」などのさまざまな課題を解決して迅速に企業のセキュリティ評価ができることが特徴となっています。
もちろん、SRSはインターネット上の公開情報だけを用いた評価のため、従来型のアンケート調査や実地監査、あるいはアプリケーション診断などを実施しないと見つけられないようなセキュリティ課題もあります。しかし、多数の外部組織を同じ「ものさし」を使って、迅速に評価をし、セキュリティ対策状況の概観を把握することができるのは、従来の調査方法にはなかった大きな魅力です。
したがって、SRSと従来型の調査方法を組み合わせ、いかにサプライチェーンリスクマネジメントの「効率的なスキーム」を策定していくことが、セキュリティ予算が限られる昨今において、継続性や迅速さが求められるサプライチェーン攻撃へ対策する重要なポイントとなるでしょう。
Secure SketCH 自動診断機能のご紹介
NRIセキュアが提供するSecure SketCHでは、「自動診断機能 (SecurityScorecard連携)」としてSRSを提供しています。
Secure SketCHでは、社内の従業員の視点のアンケート調査による「内部評価」に加えて、インターネット上の大量の公開情報に基づくSRSによる「外部評価」の結果を同一サービス上で確認できます。そのため、セキュリティ評価および対策の実行を、より網羅的かつ高度に実施できることが、他のSRSにはない強みになります。
この自動診断機能は、「IPレピュテーション」「DNSの健全性」「アプリケーションセキュリティ」といった10種類の評価分類で網羅的に約100種類の課題を発見できるのが特徴です。
また、検出された課題に対する「詳しい解説」や「推奨事項」、「改善しなかった場合のリスク」も確認することができるため、具体的なセキュリティ対策まで実施していけるのも大きな特徴となっています。
図. 自動診断機能の画面イメージ
自動診断機能を活用したサプライチェーンリスクマネジメントの「効率的なスキーム」として、Secure SketCHでは次のように実施することを推奨しています。
まずは作業負荷がかからない「①自動診断」でサプライチェーン全体の企業を対象に、簡易評価を実施します。次に自動診断で評価が低かった企業のみを抽出して、Secure SketCHの独自の設問※やカスタマイズした設問※で「②アンケート評価」を実施していきます。最後にアンケート評価の結果も低い企業を対象に、作業負荷が高い「③実地監査」を行って詳細な評価をするという流れです。
※Secure SketCHによる独自の設問:世の中のガイドラインや脅威動向をベースにNRIセキュアが作成した独自の設問
※カスタマイズした設問:お客様独自に作成した設問
ポイントは、作業負荷がかからないSRSの「自動診断機能」を使って従来型の調査をする対象企業を「特にリスクの高い企業」のみに絞り込むことです。このようにすることで、サプライチェーン全体のセキュリティリスク評価を、従来型の調査方法のみに頼るより、費用対効果高く実施することができるようになります。
Secure SketCHの自動診断機能の詳細については、資料をダウンロードしてご確認ください。
【無料ダウンロード】Secure SketCH 自動診断機能 紹介資料
まとめ
DXのトレンドにより、デジタル技術で様々な企業が連携する時代になりました。それによって、「サプライチェーンの弱点を悪用した攻撃の高まり」が脅威として注目されるようになり、企業には、サプライチェーン全体のセキュリティを管理するための「サプライチェーンリスクマネジメント」が求められるようになりました。
一方で、従来型のアンケート調査・実地監査などでは、「人手がかかるため継続的にできない」、「調整が必要であり迅速に評価できない」、「担当者の主観的な回答になる」などの課題があり、このような課題を解決するソリューションとして、SRSがこれから益々注目を集めるようになると考えられます。
今後は、従来型のアンケート調査(内部評価)に補完して、作業負荷なく継続的に評価できるSRS(外部評価)を組み合わせて、サプライチェーンリスクマネジメントの「効率的なスキーム」を策定していくことが、セキュリティ予算が限られる昨今において、継続性や迅速さが求められるサプライチェーン攻撃へ対策する「あるべき姿」となっていくでしょう。
Secure SketCHの自動診断機能の詳細については、こちらの資料を是非参照ください。
