セキュリティ アバナード

自社だけでは不十分--取引先を経由した攻撃のリスクと確認すべき5つの方法

サイバーセキュリティ対策の必要性が拡大し続けているが、自社だけでなく、ビジネスパートナーなどの他社の対策まで把握できている企業はどれくらいいるだろうか。現状や確認すべき5つのポイントなどを解説する。

 企業がビジネスを展開するにあたり、さまざまなサービスを供給するサプライヤーの協力は欠かせないものの一つでしょう。しかし、そういったビジネスパートナー、取引先企業などのセキュリティ面までを把握できている、という方はどれくらいいるでしょうか。

 Accentureの調査(PDF)によると、ビジネスパートナー企業のサイバーセキュリティ取り組み状況を把握している日本の企業や経営者は、わずか14%。世界平均の29%の半分にも満たないことがわかりました。

 企業経営者がサプライヤーのサイバーセキュリティ状況を把握できていないことは、自社に悲惨な結果をもたらす可能性があります。Accentureは、約7割の企業がサプライチェーンを通じたサイバー攻撃に対して特に脆弱であると伝えています。

 例えば、SolarWindsの管理ソフト経由で米連邦政府機関や大手企業が被害を受けたサイバー攻撃は、アメリカ政府だけを狙ったものではありませんでした。しかし、アメリカ、ヨーロッパ、中東の1万8000の企業や機関に影響を与え、サプライチェーン関連では過去最大規模の攻撃となりました。

 日本の例としては、ウイルス対策業者に起因する脆弱性を利用した、2019年の三菱電機の情報漏えい事件があります。

 また、同年アメリカでは、1億1000万人の顧客のクレジットカード情報が漏えいした、小売業大手Targetへのサイバー攻撃事件もありました。冷暖房を供給する1企業への攻撃から始まり、たった1つのサードパーティープロバイダーが漏えいのきっかけとなってしまいました。

 サプライチェーン攻撃を非常に陰湿にしている理由は、ハッキングされる直接的な境界は強化しているものの、悪意のある攻撃者はパートナーやプロバイダーに許可された認証情報という「鍵」を盗み、大胆にもITインフラの「正面玄関」から侵入してくることです。隣人の木が自分の家の屋根を突き破って倒れてくるように、侵入に関する落ち度は被害者にはありません。しかし、コントロールできないどこかから攻撃され、最悪の被害を受ける可能性があります。

 米ソ冷戦時代、ワシントンのモットーは「Trust but verify(信頼しつつ検証する)」でした。しかし、今日のサプライチェーンにおけるサイバー脅威に対しては、このポリシーでさえも甘すぎると言わざるを得ません。境界線の内外を問わず、何かを自動的に信用すべきではないという信念に基づいた、“ゼロトラスト”という考え方とビジョンが必要です。システムへのアクセスという形で信頼を与える前にすべてを検証するというもので、すべての個人、管理者アカウント、アプリケーション、ボット、プロセスのIDを検証し、強固なガバナンスで管理する必要があります。

「セキュリティ」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. マンガでわかる「ルール駆動開発」レガシーモダナイズを成功させる開発手法を基礎から理解する
  2. 5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは
  3. APIエコシステムを狙うサイバー攻撃が急増、Webアプリにおける最新のAPIセキュリティ対策とは?
  4. クラウドやコンテナ利用が増える中、世界の企業が利用するAPI経由の安全なアプリ構築手法とは?
  5. ウェビナーによる営業活動が本格化、顧客接点が増加する一方で見えてきたハードルと解決策とは?

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]