「サプライ チェーン攻撃」という言葉を聞いたことがあるでしょうか?
最近、よく耳にするけれど、詳しいことはわからないという人も多いかと思います。
今回は、記事のなかで、サプライチェーン攻撃とは?事例から見る企業のセキュリティリスクとその対策をわかりやすく解説します!
この記事は以下のような人におすすめ!
- 自社のサプライチェーンにおいてセキュリティ対策をどうすればいいかわからない人。
- サプライチェーン攻撃を受けた場合、どのような影響があるのか心配な人。
- 被害を受けるリスクが高い業界や企業の情報が知りたいという悩みの人。
サプライチェーン攻撃とは何か?
1-1. サプライチェーン攻撃の定義と特徴
サプライチェーン攻撃とは、悪意あるコードを正規のソフトウェアに混ぜ込むことで、そのソフトウェアを使用する多数のユーザーに対して攻撃を行う手法のことです。
サプライチェーン攻撃の特徴は、攻撃者が攻撃対象となる企業のサプライチェーンに潜り込んで、正規のソフトウェアを含むサプライチェーンの弱点をつくことで、その企業を含む多数の顧客やユーザーに被害を与えることができることです。
1-2. サプライチェーン攻撃の種類
サプライチェーン攻撃には、次のような種類があります。
正規のソフトウェアに悪意あるコードを仕込み、そのソフトウェアを使用する多数のユーザーに攻撃する方法。
正規のハードウェアに改造を施し、そのハードウェアを使用する多数のユーザーに攻撃する方法。
サプライチェーンの上流にある企業に侵入し、正規のソフトウェアを含むサプライチェーン全体に影響を与える方法。
サプライチェーンの下流にある企業に侵入し、正規のソフトウェアを含む製品やサービスに影響を与える方法。
サプライチェーン攻撃の事例
2-1. サプライチェーン攻撃の事例1
トヨタ自動車の部品を製造するサプライチェーン企業が、サイバー攻撃を受け、部品供給を管理するシステムに影響が出ました。
このため、トヨタ自動車は2022年3月1日に国内全工場(14工場28ライン)の稼働を停止することを発表し、サプライチェーン攻撃による点検や対策を行いました。
サプライチェーン企業の本社ではなく、子会社のリモート接続機器の脆弱性を突かれ、ネットワークに侵入されたため、パソコンやサーバーに攻撃被害があり、データが暗号化され、システムが停止しました。
2-2. サプライチェーン攻撃の事例2
大阪急性期・総合医療センターは、ランサムウェアによるサイバー攻撃でシステム障害が起き、医療サービスが2か月以上も停止しました。
電子カルテのデータが暗号化されただけでなく、病院システム全体に影響が出て、復旧には2023年までかかりました。
病院システムへの侵入は、給食を委託するサプライチェーン企業を介して行われました。このケースでも、給食サプライチェーン企業のリモート接続機器の脆弱性が突かれ、ネットワークに侵入されたと考えられます。
サプライチェーン攻撃の影響とリスク
3-1. サプライチェーン攻撃の被害
サプライチェーン攻撃は、ターゲット企業だけでなく、その企業の取引先やサプライヤーにも影響を及ぼします。
攻撃が成功すれば、システムの停止やデータの漏洩、金銭的被害などが発生する可能性があります。
また、攻撃者によって悪用されることで、個人情報や企業機密情報が流出する可能性もあります。
被害は、個人や企業だけでなく、社会全体に及ぶ場合もあります。
3-2. サプライチェーン攻撃のリスク
サプライチェーン攻撃は、攻撃者にとってリスクが低く、報復される可能性が低いため、ますます一般的になっています。
攻撃者は、ターゲット企業のセキュリティを迂回することで、より簡単な攻撃対象である取引先やサプライヤーに侵入することができます。
また、攻撃対象が多くなるほど、攻撃者はより多くの情報やデータを収集し、さらなる攻撃を計画することができます。
3-3. サプライチェーン攻撃の対策
サプライチェーン攻撃に対する対策としては、取引先やサプライヤーとのコミュニケーションの強化が重要です。
セキュリティに関する情報共有を行い、セキュリティ要件を組み込んだ契約を締結することで、より強固なサプライチェーンを構築することができます。
サプライチェーンのリスクを評価し、特定の取引先やサプライヤーに対するセキュリティの強化を行うことも重要です。
サプライチェーン攻撃への対策と予防策
4-1. サプライチェーン攻撃の対策と予防策の概要
社員に対してセキュリティに関する教育・訓練を実施し、サプライチェーン攻撃のリスクについて周知徹底することが必要です。
社員がセキュリティに関する知識や意識を持ち、異常を察知できるようになることで、攻撃の発見や被害の拡大を防ぐことができます。
サプライチェーンパートナーのリスクを定期的に評価し、そのリスクに対する対策を実施することが必要です。
また、リスクマネジメントのプロセスを定期的に見直し、改善していくことが必要です。
情報共有によって、異常を早期に発見し、攻撃の拡大を防止することができます。
共同のセキュリティ対策を実施することで、攻撃に対する防御力を高めることができます。
第三者機関による監査によって、サプライチェーンパートナーのセキュリティ状況を評価し、改善点を指摘することができます。
これらの対策は単独で行うのではなく、複数の手段を組み合わせることでより効果的なセキュリティ対策を実現することが重要です。
4-2. ソフトウェアサプライチェーンの安全性確保
ソフトウェアサプライチェーン攻撃に対しては、ソフトウェアの開発・提供過程でのセキュリティ対策が重要です。
具体的には、開発環境やライブラリ、フレームワークなどのソフトウェア資源のセキュリティを確保することが必要です。
4-3. 第三者監査によるセキュリティの確認
サプライチェーン攻撃に対する対策として、第三者監査によるセキュリティの確認が効果的です。
4-4. セキュリティマネジメントの改善
セキュリティマネジメントの改善には、定期的な評価・改善の徹底が必要です。
具体的には、リスクアセスメントの実施や脅威情報の収集、インシデント対応体制の整備、セキュリティポリシーの策定や改定、従業員の教育・トレーニングなどが挙げられます。
まとめ
5-1. サプライチェーン攻撃の今後の動向
サプライチェーン攻撃は、今後もますます脅威となっていくことが予想されます。
攻撃者たちは、より巧妙な手法を使ってサプライチェーンを侵害し、ターゲット企業の情報やシステムを標的化する可能性が高いです。
また、新たなサプライチェーンの攻撃手法が開発されることも考えられます。
5-2. サプライチェーン攻撃への取り組みの重要性
サプライチェーン攻撃は、単一の企業だけではなく、その企業が依存するサプライチェーン全体に影響を及ぼすことがあります。
サプライチェーン全体を保護することが重要です。
また、サプライチェーンの攻撃は、企業の信頼を損なうことがあり、その影響は長期間にわたって及ぶことがあるため、適切な対策を取ることが必要です。
5-3. 今後の展望と期待する取り組み方
今後は、サプライチェーン攻撃に対する取り組みがますます重要になることが予想されます。
企業は、サプライチェーンの安全性を確保するために、リスクマネジメント、サプライチェーンパートナーとの情報共有、ソフトウェアサプライチェーンのセキュリティ確保、第三者監査、セキュリティマネジメントの改善などの対策を講じることが必要です。
また、サプライチェーン全体を俯瞰し、情報共有や協調を図ることも重要です。
