情報処理推進機構の「セキュリティ10大脅威」で、「サプライチェーンの弱点を悪用した攻撃」が、過去最高の2位にランクインしました[1]。同機構は、順位を上げた理由を23年2月現在で公表していないものの、サプライチェーンリスク関連のインシデントが国内企業で近ごろ多発していることは事実です。
サプライチェーンリスクと一口に言っても、実態は様々です。サードパーティリスクと呼ばれることもあります。この記事では、最近国内で実際にあったインシデントを見ながら、どんなリスクがあるかを整理していきます。記事の最後では、サプライチェーンリスクを管理する上でのポイントにも簡単に触れます。
サプライチェーンとは
サプライチェーンリスクとは
情報セキュリティにおけるサプライチェーンリスク
よく似た言葉「サードパーティリスク」
インシデントが攻撃によるものか否か
サードパーティのタイプによる分類
管理策の例
管理の課題と解決策
そもそもサプライチェーンリスクとは
サプライチェーンとは
サプライチェーンとは、商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群を指します[2]。商品が最終消費者に届くまでの「供給の連鎖(チェーン)」とも言い換えられます[3]。
サプライチェーンリスクとは
サプライチェーンリスク自体は、情報セキュリティだけのものではありません。サプライチェーンリスクとは、サプライチェーンに何らかの要因で障害(例:供給が滞るなど)が発生した結果、事業の継続に支障をきたす危険性のことです。例えば、以下のようなリスクが挙げられます。
環境的要因によるリスク
・大地震で停電が発生し、工場の稼働が止まるリスク
・パンデミックに伴う外出制限で、外食産業や観光業などにおいて客足が鈍るリスク
地政学的要因によるリスク
・政情不安や戦争などに伴う制裁や禁輸措置で、材料が入手困難となるリスク
経済的要因によるリスク
・急激な円高で、輸入原料や製品の仕入れ値が高騰するリスク
技術的要因によるリスク
・仕入れ先企業がDDoS攻撃を受けて事業停止に陥り、材料の供給が滞るリスク
・グループ会社がランサムウェア攻撃を受け、自社システムの安全確認のためにシステムの一時停止を強いられるリスク
関連記事:
情報セキュリティにおけるサプライチェーンリスク
以上が、一般的なサプライチェーンリスクの意味合いです。これに対し、情報セキュリティ上のサプライチェーンリスクには、「サプライチェーンでのセキュリティインシデントが、自社の事業に支障をきたす危険性」や「サプライチェーンのセキュリティ上の弱点を突かれた結果、自社でセキュリティインシデントが発生する危険性」といった意味があります(後ほど、具体例を示します)。
よく似た言葉「サードパーティリスク」
また、サプライチェーンリスクと似た言葉に、「サードパーティリスク」があります。
サードパーティとは、直訳すると「第三者」です。では、「第一=ファーストパーティ」と「第二=セカンドパーティ」は誰かというと、それぞれ自社と、自社の顧客です。サードパーティとは、自社以外で自社の事業活動に関わっている企業などを指します。具体例としては、子会社(国内外)、材料の仕入れ先、利用するクラウドサービスの提供者、業務委託先が挙げられます[4]。サードパーティリスクとは、サードパーティでのインシデントが自社の事業に支障をきたす危険性や、サードパーティのセキュリティ上の弱点を突かれた結果、自社でセキュリティインシデントが発生する危険性を指します。
ちなみにサードパーティは、自社顧客への商品・サービス提供に関わっていることから、サプライチェーンの内部にいるとも言えます。よって、サードパーティリスクは、サプライチェーンリスクと、ほぼ同じ意味合いで用いられます(照準を合わせる先が、供給網なのか、供給網の中の個々の組織なのかという違いだと言えます)。
サプライチェーンリスクのタイプ
情報セキュリティにおけるサプライチェーンリスクが現実のものとなった例は、直近のものを見ると、いくつかのタイプに分類できます。
インシデントが攻撃によるものか否か
まず、インシデントの性質が「攻撃か、攻撃以外か」によって、以下のように分けることが可能です。
①サードパーティへのサイバー攻撃
サードパーティへのサイバー攻撃を踏み台に自社が狙われるケースや、攻撃されたサードパーティに提供した自社の情報が被害を受けるケースです。
また、ソフトウェアの供給の過程で悪意のある改ざんが施され、ソフトウェア利用者の情報が被害を受けるケースもあります(ソフトウェアサプライチェーン攻撃)。
②サードパーティでのサイバー攻撃以外のインシデント
A.不注意
サードパーティにおける、システムの設定ミスやメールの誤送信などで、自社の情報が被害を受けるケースです。
B.内部不正
サードパーティの従業員が悪意を持って自社の情報を漏洩させたりするケースです。
サードパーティのタイプによる分類
次に、インシデントが発生したサードパーティの「自社からの距離感」によって分けることも可能です。
①サードパーティがグループ会社や海外拠点(他社とは言い切れない)
②サードパーティが仕入先、取引先、委託先(完全に他社)
最近国内で確認された実例
以下は、いずれも過去1年間に実際に発生したインシデントです。
サイバー攻撃
▼委託先がランサムウェア攻撃を受け、ネットワークを共有する委託元もランサムウェアに感染。委託元の事業に支障。
▼海外子会社がランサムウェア攻撃を受けネットワークを遮断。調査の結果、国内拠点に二次被害のないことが判明したが、親会社の社名でプレスリリースを公表。
▼仕入先がランサムウェア攻撃を受け、全てのサーバーを停止。納品先のメーカーは部品調達が困難になり、国内の全工場を停止。
▼ECサイト向けサービスのソースコードが改ざんされ、サービスを利用する10社以上のECサイトからクレジットカード情報が流出した可能性(ソフトウェアサプライチェーン攻撃)。
▼顧客などの個人情報の管理を委託する委託先のサーバーに第三者が不正アクセス。個人情報が流出した可能性。
▼子会社Aの委託先Bがネットワーク共有していた会社Cのサーバーに不正アクセス。さらに、CのサーバーからBのサーバーに不正アクセスがあり、Aの顧客情報が漏洩。親会社の社名でプレスリリースを公表。
サイバー攻撃以外
不注意
▼委託先が規則に違反し、誤ってソースコードの一部を公開設定のままGitHubアカウントへアップロード。ソースコードにデータサーバーへのアクセスキーが含まれていたため、顧客の個人情報が漏洩した可能性。
▼委託先が個人情報を含むメールを誤送信。
▼委託先によるWebページ設定ミスにより、イベント応募者の個人情報が閲覧可能な状態に。
内部不正
▼病院の委託先の従業員が、患者の診療情報を故意に外部へ送信。これを受け、病院は委託先との契約を終了することを決定。
サプライチェーンリスクはどう管理する?
管理策の例
一般的なサプライチェーンリスクの管理策として、以下の項目が挙げられます。
予防
・委託先の管理(業務実態の把握・責任分界点の明確化)
・委託先権限の見直し緩和
・委託先との定期的な情報交換・共有
・委託業務内での定期的な監査
・セキュリティチェック復旧
・緊急連絡体制の確立
・公的機関が定めるガイドライン活用による対応
また、ソフトウェアサプライチェーン攻撃への対策としては、以下のものが挙げられます。
予防
・使用しているソフトウェアの洗い出し
・サプライヤーのサポート体制の確認
・脆弱性への対応緩和
・脆弱性管理プログラムの導入
・接続制限
・セグメンテーション
・インベントリからの逸脱有無や未承認のソフトウェアの削除接続制限復旧
・緊急事態計画(体制)の確立
・ソフトウェアの代替サプライヤーを予め選定
・フェイルオーバープロセスの確立
関連記事:
サプライチェーン攻撃の事例から学ぶセキュリティ見直しポイント
管理の課題と解決策
上記の対策が基本ではあるものの、サプライチェーンリスクはいわば「他社のリスク」であるため、その管理には以下のような独特の難しさがあります。
①管理対象のサードパーティや資産が多すぎて把握が難しい
解決策として、委託先管理ツールやアタックサーフェス管理ツールなどの資産管理ツールを導入することが挙げられます。また、リスク対応の優先順位を素早く決めるのに役立つツールとして、脅威インテリジェンスツールの導入を検討するのも良いでしょう。
関連記事:脅威インテリジェンスとは?
②サードパーティが協力してくれない、余裕がない
取引先にセキュリティ対策を要請することは原則、法律に抵触することではありません。ただし、要請の仕方によっては独禁法や下請法に抵触する恐れもあります(公正取引委員会、2022年)。1つ言えるのは、サードパーティと継続的なコミュニケーションをとり、信頼関係を維持していくことが協力を得る上で重要だということです。情報処理推進機構が公表する「プラクティス・ナビ」(以下)は、そのヒントになるかもしれません。
なお、弊社マキナレコードでは、脅威インテリジェンス、アタックサーフェス管理、委託先管理の各ツールのほか、中小企業のお客様のセキュリティ体制構築や認証取得を支援するコンサルティングサービスも展開しております。サプライチェーンリスク、サードパーティリスクの管理にお困りの方は、お気軽にご相談ください。
関連記事:
情報処理推進機構「プラクティス・ナビ」
マキナレコードにできること
マキナレコードでは、委託先管理やアタックサーフェス管理に役立つ各種インテリジェンスツールやサービスを提供しています。また、ISMS認証、プライバシーマーク認証、PCI DSS認証など、情報セキュリティに関する各種認証を取得するための支援を行っています。
以下、代表的なツールやサービスをご紹介します。
ツールのご紹介
Silobreaker
オープンウェブの情報やトレンドをモニタリングするOSINTツールです。脆弱性情報を常時モニタリングするほか、メールアドレス、IPレンジ、ドメインなどの「アセットモニタリング」の機能を備えています。
また、オープンソース上のあらゆる情報ソースをカバーしているため、情報セキュリティ以外のサプライチェーンリスク(地政学リスク、レピュテーションリスクなど)に関するトレンドを掴むためにも活用できます。
Flashpoint
ダークウェブやチャットをはじめとする不法コミュニティを、常時モニタリングするツールです。漏洩した認証情報、フィッシングドメイン、なりすましアカウント、攻撃者らが議論する脆弱性、インサイダーの募集・宣伝などのモニタリングに利用できます。こちらも、情報セキュリティ以外のリスクモニタリングにも対応しています。
Anomali
上記のような脅威インテリジェンスツールなど、さまざまなソースからの情報を1か所に集約します。また、集約した情報を自社のセキュリティシステム(SIEMやFWなど)と連携させて、脅威への自動対応を行うことも可能です。詳しい機能と活用事例については、関連記事(Anomaliにできること 活用事例)でご紹介しています。
******
この他、委託先管理ツールやアタックサーフェス管理ツールも提供しております(詳細については、お問い合わせください)。
サービス
マネージドサービス
お客様に代わりマキナレコード社の実績のあるアナリストが監視/通知/運用を行うサービスです(対象サービス:Flashpoint、Silobreakerなど)。
対象となるお客様例
・セキュリティ運用業務の人的リソースが不足している
・自社に対する脅威情報/漏洩認証情報の監視ができていない
・レポートの作成に時間がかかっている
・検知はできているが、分析や関連情報の収集まではできていない
サービス内容
・同業界での脅威情報の提供
・月次/週次レポートによる報告
・リアルタイムでの脅威情報の提供
・実績のあるアナリストによる詳細分析情報/関連情報の収集
インテリジェンストレーニング
脅威インテリジェンス初学者を想定したマキナレコード独自の教育プログラムです。
業務として脅威インテリジェンスに携わる場合の具体的なイメージの理解や、人員要件から、自組織で収集するべき情報の特定や、分析するための手法、ツールのハンズオントレーニング(オプション)など、幅広く学習できる最大2日間のトレーニングコースです。
特色
・Laith Alkhouri氏による監修(Flashpoint創業者、対テロリストインテリジェンス専門家)
・米国CISAによるNICE Frameworkへのアダプト
・ハンズオントレーニングを含む2日間のトレーニング
学習する項目
・インテリジェンスサイクルの理解
・脅威の定義
・データソースの特徴
・要件定義の仕方
・情報収集とは
・分析ツール、各種フォーマット
・チーム構成の人員要件を確認する
・自分の組織に必要な、収集するべき情報、分析するためのツールの確認
コンサルティング(インテリジェンスの導入支援)
インテリジェンスを始めるための支援を、マキナレコードのコンサルタント及びアナリストが実施いたします。
対象となるお客様例
・インテリジェンスが重要なことはわかっているが、何から始めたらいいのかわからない
・情報が散在しており、活用しきれていない
・どういった情報があつめられ、どのように活用すればいいかがわからない
サービス内容例
・要件定義の策定支援
・インテリジェンスを始めるにあたっての基礎トレーニング
・必要なツールの選定
・インテリジェンスを活用するためのレポーティング手法
・他サービスとのインテグレーション
・運用支援
注釈、参考資料
[1] この項目は、2019年に初めてランクインし、2019年〜2021年は4位、2022年は3位と、着々と順位を上げています。
[2] IPA、2022年、「情報セキュリティ10大脅威 2022」解説書
[3] 経済産業省、通商白書 2021
[4] 「サードパーティ」という言葉自体は、分野ごとに微妙に異なる意味合いで用いられていますが、サイバーリスクの分野においては概ね、以下のような意味で使われています。
金融セクターにおける民間・公的金融機関(以下、「金融機関」)では、様々な業務上の理由により、サードパーティを活用している。サードパーティを活用することにより、それを活用する金融機関に追加的なサイバーリスクマネジメント上の課題が生じる。(中略)サードパーティとは、モノやサービスを提供するために金融機関と業務上の関係や契約を有する組織である。サードパーティとの関係の重要な形態の一つとして、業務委託がある。業務委託関係のもとでは、業務委託がなければ金融機関自身により提供されていた業務機能、サービス、またはプロセスをサードパーティが提供する。
出典:G7サイバー・エキスパート・グループ、2018年、金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素(仮訳)(英語原文:G-7 FUNDAMENTAL ELEMENTS FOR THIRD PARTY CYBER RISK MANAGEMENT IN THE FINANCIAL SECTOR)
Writer
2013年に一橋大学卒業後、新聞記者などを経て、2020年にマキナレコード入社。以降、翻訳スタッフとして、情報セキュリティ、インテリジェンス、ダークウェブ関連のレポートやマニュアル文書等の英日翻訳に携わる。インテリジェンス関連のブログ記事制作も担当。日本翻訳連盟「JTFほんやく検定」2級取得。