SQAT® Security 玉手箱 | SQAT®.jp

2024年10月4日2025年5月12日

APIとは何か（1）～基本概念とセキュリティの重要性～

Security NEWS TOPに戻る
バックナンバー TOPに戻る

APIは、システム間のデータや機能のやり取りを円滑にするために欠かせない技術です。しかし、その利便性の反面、APIのセキュリティリスクも増大しています。本シリーズでは数回にわけて、APIの本質的な役割から、セキュリティリスクとその対策までを解説していきます。シリーズ第1回目の今回は、APIの基本的な定義から、その仕組みや連携方法、そしてセキュリティ上の課題について学びます。

APIとは

API（Application Programming Interface：アプリケーション・プログラミング・インターフェース）とは、ソフトウェアの機能を他のプログラムでも利用できるようにするための仕組みです。APIは、アプリケーションやサービスが外部のプログラムと情報や機能を共有する際の「インターフェース」として働き、異なるプログラム同士の連携を可能にします。例えば、地図情報を提供するアプリがAPIを利用して他のアプリに地図データを提供することで、ユーザは別のアプリ内でもその機能を活用できるようになります。

APIの仕組み -API連携とは-

ソフトウェアやアプリ、プログラム同士を、APIを介して機能連携させるのが「API連携」です。あるソフトウェアに他のソフトウェアの機能を埋め込むイメージです。API連携によってソフトウェア同士が相互にデータと機能を共有できるようになります。

【APIの活用例】

社内業務システム：チャットAPIを活用してコミュニケーション
会員サービスサイト： SNSアカウント認証APIでログイン
ネットショップ：クレジットカード・認証APIで決済
飲食店サイト：地図情報APIで店舗位置情報表示 × 予約受付APIで予約対応

APIのセキュリティ

APIは異なるソフトウェア間の通信を可能にしますが、同時に攻撃者にとっての格好の標的にもなり得ます。そのため、APIを利用する企業やアプリケーション開発者にとってAPIのセキュリティ対策は重要な課題です。セキュリティリスクは他のプログラムやサービスと機能やデータを共有しているAPI特有の仕組みから生じます。APIが不適切に設計・管理されていると、未認証のアクセス、データ漏洩、機密情報の不正取得といったリスクが高まります。以下は、APIセキュリティに関する主なリスクの例です。

データ漏洩: APIを通じて個人情報や機密情報が漏洩するリスク
不十分な認証:認証要素が不十分なことによる不正アクセスのリスク
サイバー攻撃:標的型攻撃、インジェクション攻撃やDoS攻撃などのサイバー攻撃を受けてしまうリスク
APIキーの窃取: APIキーが盗まれることによる不正利用のリスク

APIのセキュリティはなぜ重要なのか

スマートフォンやIoT端末の普及に伴い、様々なAPIが利用されるようになりました。SNS事業者が提供するAPIサービスやスマートフォン向けのAPIサービスがあるほか、複数のSaaSのAPIを連携させるサービスも登場しており、私たちを取り巻くあらゆるサービスで幅広く提供されています。このため、APIをターゲットにした攻撃も増加しています。
（※APIを悪用した攻撃についてはシリーズ第2回目で解説します。）

APIセキュリティが重要視される理由は、現代社会においてAPIがデータや機能の共有に不可欠な役割を果たしているためです。APIを通じてやり取りされるデータや機能は、悪意のある攻撃者に狙われる可能性があり、適切なセキュリティ対策がなければ、情報漏洩やシステム侵入のリスクが増大します。特に、認証や認可の不備、暗号化の欠如が原因で、機密データが外部に漏れるケースが多く見られます。また、APIは外部に公開されることが多いため、DDoS攻撃やボットによる過負荷のリスクも存在します。したがって、APIの設計段階からセキュリティを考慮し、定期的な監視や脅威の検知を行うことが、システム全体の安全性を保つために不可欠です。

また、企業やアプリケーション開発者にとっては、信頼性と顧客データ保護に直結する重要な要素でもあります。適切なセキュリティ対策を講じることで、データの改ざんや不正アクセスを防ぎ、システムの安全性を確保することができます。

まとめ

（Application Programming Interface：アプリケーション・プログラミング・インターフェース）とは、ソフトウェア間で機能や情報を共有するための仕組みであり、異なるプログラム同士を連携させます。APIは、地図情報の提供やSNSアカウントの認証など、さまざまな用途で活用されており、現代のデジタルサービスには欠かせない存在です。しかし、APIはその便利さの反面、攻撃の標的にもなりやすく、セキュリティの観点から注意が必要です。APIの不適切な設計や管理は、データ漏洩、不正アクセス、サイバー攻撃のリスクを高めます。特に、認証や認可の欠如、適切に暗号化がされていないことなどにより機密情報が漏れる恐れがあります。また、外部に公開されるAPIはDDoS攻撃やボットのターゲットになることもあります。そのため、企業のセキュリティ担当者やアプリケーション開発者はAPIのセキュリティ対策を講じ、定期的な監視や脅威の検知を行うことが不可欠です。これにより、信頼性を維持し、顧客データの保護が可能となります。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年8月20日2025年9月9日

フィッシングとは？巧妙化する手口とその対策

Security NEWS TOPに戻る
バックナンバー TOPに戻る

フィッシング攻撃は、信頼できる存在を装い、個人情報や機密データを詐取しようとするサイバー攻撃の一種です。フィッシング攻撃は年々巧妙化・多様化しており、本物そっくりのサイト、もっともらしい文面のメール、もっともらしい名前のファイルを用いた手口もあるなど、被害を受けるリスクが高まっています。本記事では、フィッシング攻撃の脅威動向を踏まえながら、フィッシング攻撃への対策方法を解説します。

過去のウェビナーの再配信予定にご関心のある方はこちらからお問い合わせください。

フィッシングとは

フィッシングとは、電子通信において、信頼できる存在になりすまして、ユーザ名やパスワード、クレジットカード情報などの機密情報やデータを入手する詐欺的な行動のことを指すとされています。信頼できる存在になりすます点で、ソーシャルエンジニアリングのひとつです。魚釣りの「Fishing」の「F」を「Ph」にした「Phishing」と表記され、語源には諸説あります。

なお、日本では、「フィッシング詐欺」という言い方が使われることが多いです。「フィッシング」という言葉自体にすでに「詐欺」の意味が含まれているため厳密には重ね言葉なのですが、カタカナのみの語句よりも直感的な分かりやすさはあるといえるでしょう。

フィッシング詐欺とは

フィッシング詐欺とは、偽サイトを作ってオンラインバンキングなどのIDとパスワードを盗み不正送金等を行うものです。ユーザは騙されないように正しいURLかどうかを検証したり、メールの日本語に不自然な点はないかを慎重に確認することが求められます。

フィッシングの目的とは

サイバー攻撃の包括的フレームワークとして知られるMITRE ATT&CKでは、「フィッシング」は、メールの添付ファイル、メールのリンクのほか、ソーシャルメディア等のサードパーティサービスを用いて実行されると記載されています。また、その主な目的は、標的のシステム上で悪意のあるコードを実行すること、または、有効なアカウントを利用するためのクレデンシャル（身元識別に用いられるID、パスワードなどの情報）を収集すること、とされています。

フィッシングの手法と手口

フィッシングでは、攻撃者は「信頼できる」とみなされる存在を何らかの形で装い、標的を罠にかけます。たとえば、本物そっくりのサイト、もっともらしい文面のメール、もっともらしい名前のファイルなどがそうです。

なお、フィッシングの中でも、特定の企業や個人を狙ったものは「スピアフィッシング」と呼ばれており、攻撃側は、目的を達成するために、標的を徹底的に研究し、特定の相手にとって不自然さを感じさせないメールやフォームを作りこみます。なお、スピアフィッシングにおいて、上級管理職など、組織の重要人物を狙った攻撃は「ホエーリング（「捕鯨」の意）」と呼ばれます。

関連した手法として、DNSの設定を書き換えて偽サイトに誘導する「ファーミング」、電話などの音声通話を用いた「ヴィッシング」、SMSを使う「スミッシング」どもあり、その手口はさまざまです。

フィッシング攻撃の脅威動向と報告件数

2024年6月にフィッシング対策協議会が公開した「フィッシングレポート2024」によると、2023年にフィッシング対策協議会に寄せられた国内のフィッシングの報告件数は1,196,390件と、年々増加傾向にあり、フィッシング攻撃の脅威が高まっています。

企業にとっての2つのフィッシング脅威

企業にとってのフィッシングの脅威は、大きく2つに分けられるといえます。ひとつは、自社の従業員がフィッシングの餌食になってしまうこと、もうひとつは、自社ブランドをかたるフィッシングサイトが、世界のどこかの国のサーバに立ち上げられてしまうことです。前者においても大きな被害が発生する可能性はありますが、後者の場合は、自分たちのブランド名のもと多くのユーザが被害にあってしまうという点で、次元の違うインパクトを引き起こしかねません。

もし自社のフィッシングサイトが立ち上げられてしまった場合、本物のサイトを運営する自分たちに過失があったか否かにかかわらず、社会的信頼の失墜や、ユーザ離れなどが生じる可能性があります。

自社がフィッシングの標的になってしまった場合の緊急対応

もしフィッシングサイトを立ち上げられてしまった場合、そのサイトを閉鎖するためのアクションを早急に行う必要があります。このアクションのことを「テイクダウン」と言いますが、実は、それに無料で対応してくれる機関があります。一般社団法人JPCERTコーディネーションセンターです。同センターでは、「インシデント対応依頼」という窓口を設けており、企業に代わって、サイト管理者へフィッシングサイトが公開されていることを連絡しフィッシングサイトの停止を依頼してくれます。フィッシングサイト以外にも、複数のインシデントへの対応依頼が可能ですので、ぜひ一度チェックしてみてはいかがでしょうか。

企業にとってのフィッシング対策

自社がフィッシングの標的となった場合に被害を未然に食い止め、もしフィッシングサイトが作られてしまったとしてもその被害を最小に食い止める――これは、Webサイトを持つすべての企業が取り組むべきセキュリティ課題といえるでしょう。では、具体的にどうすればよいのか。フィッシング対策協議会「フィッシング対策ガイドライン」の重要5項目をご紹介しましょう。

１．利用者に送信するメールには「なりすましメール対策」を施すこと
２．複数要素認証を要求すること
３．ドメインは自己ブランドと認識して管理し、利用者に周知すること
４．すべてのページにサーバ証明書を導入すること
５．フィッシング詐欺対応に必要な組織編制とすること

あなたの会社の取り組みは、いかがでしょうか？もし、どこから手を付けてよいのかわからない、ということであれば、セキュリティ専門企業に相談されることをおすすめします。

フィッシング攻撃のサービス化

2022年9月、米国のResecurity社はダークウェブにおいて二要素認証を回避する新たなPhaaS(Phishing-as-a-Service)が登場したと発表しました。攻撃の母数が増えると、フィッシングメールやフィッシングメッセージを目にする機会が増え、結果的に攻撃を受ける人が多くなります。二要素認証を使用したときにスマホやPCに届くメッセージは、本当に自分が認証を行おうとしている正規のサイトから届いたメッセージでしょうか。もしかすると、攻撃者によって巧みに誘導させられていて、対応するとアカウントを侵害されるなどの被害にあってしまうかもしれません。

フィッシング攻撃への対策として第一に考えられるのは「教育」です。情報セキュリティ研修、メール訓練により、受け取ったメッセージを「疑う・確認する」ことを教育するとともに、二要素認証のなかでもより安全性の高いものを採用するなど、正しく攻撃に備えることで、実際に攻撃を受けたときの被害を抑えることができるでしょう。

もしフィッシングの被害にあったら

それでは、自社の従業員がフィッシングの被害にあうことを防ぐにはどうすればいいでしょうか。

いわく「メールの送信元を確認する」「メールやSMSの文面に違和感がないかチェックする」「正しいURLか確認する」等々…。冒頭でも述べましたが、検索上位に並ぶこうした対策は、一昔前から変化がありません。もちろん、いずれも間違ってはおらず、こうした基本的啓発活動の重要さは今後も変わることはないのですが、攻撃者の技術力は日進月歩です。たとえば今日、偽メール文を見て日本語の不自然さをみじんも感じない、というケースは少なくありません。

基本対策を実践するのはまず当然として、今後は、「騙されてしまうことはあり得る」と想定し、被害前提・侵入前提での対策も考える必要があります。BBSecでも、この認識のもと、「もしフィッシングにひっかかってしまった場合、どこまで企業の資産に被害が及ぶのか、その結果、どれだけビジネスインパクトがあるのか」を検証するサービスを提供しています。

まとめ

フィッシングとは、信頼できる存在を装って、守秘性の高いデータの取得を図るサイバー攻撃です。
自社ブランドのフィッシングサイトが立ち上げられてしまった場合、専門機関を介して閉鎖依頼をかけることができます。
フィッシングの手口は巧妙化・多様化しています。「騙されてしまうことはあり得る」と想定し、被害前提・侵入前提で対策をとることが必要です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年7月22日2025年5月12日

クラウドサービスのセキュリティ対策-クラウドサービスのセキュリティ3-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

クラウドサービスの普及に伴い、セキュリティ対策の重要性が高まっています。本記事では、クラウド利用時に必要な適切なセキュリティ対策について、セキュリティポリシーの策定から、クラウドサービス特有の課題に触れながら解説します。クラウドサービスを安全に活用したい企業や組織のセキュリティ担当者は、クラウドの利点を最大限に活かすための指針としてぜひお役立てください。

クラウド利用時の適切なセキュリティ対策とは

前回記事「事例でみるクラウドサービスのセキュリティ」で述べてきたように、近年、クラウドサービスのセキュリティに関する設定が十分でなかったために、意図せず、クラウドサービスで管理している機密情報を無認証状態で外部に公開してしまい、機密情報を漏洩させてしまった事例が相次いで報告されています。クラウドサービスの設定ミスでセキュリティインシデントが多発している原因の一つとして考えられるのが、クラウドサービスを利用している企業や組織において対応すべき情報セキュリティ対策が曖昧になっていることです。クラウドサービスの利用にあたっては、アクセス制御や権限管理についてユーザ側で対応する必要があり、これらを軽視すると設定ミスが発生し、それが重大なインシデントを引き起こしかねません。設定ミスを起こさないためには、クラウドサービスにおけるセキュリティ設定を確実に確認する必要があります。

セキュリティポリシーの策定と運用

設定ミスを未然に防ぐために、セキュリティポリシーの作成が重要となります。セキュリティポリシーとは、組織が情報資産を保護するために策定するルールやガイドラインの総称です。これには、データの取り扱いやアクセス権の管理、セキュリティ対策の実施方法などが含まれます。セキュリティポリシーは、組織内のすべてのメンバーが遵守すべき基準を定めることで、情報漏洩や不正アクセスなどのリスクを低減します。内容をルール化、明文化することで、クラウドサービスを適切に使用してもらうための具体的なマニュアル、手順書などを作成することが可能となります。

組織のセキュリティ文書は、「基本⽅針」、「対策基準」、「実施⼿順」の構成をとることが多いです。このうち、「基本⽅針」、「対策基準」がポリシーにあたります。「実施手順」はポリシーから作成されるもので、ポリシー自体には含まないのが一般的です。

情報セキュリティ文書の構成

基本方針　情報セキュリティに対する組織の基本方針
対策基準　実施するための具体的な規則
実施手順　マニュアルなど対象者や用途に合わせ必要な手続き

クラウドサービス利用に関する不安

総務省「令和５年通信利用動向調査の結果」によると、国内でクラウドサービスを利用している企業は、いまや8割近くになります。一方で、セキュリティ担当者はクラウドサービスの利用に次のような不安・課題を抱えています。

このような不安や課題を払拭するためには、「ベストプラクティスに基づく適切な設定」「定期的なセキュリティチェック」が必要になります。ベンチマークやベストプラクティスに基づく適切な設定ができていないと、攻撃者に攻撃の隙を与えてしまいます。

クラウドセキュリティの対策方法の一つに、クラウドサービスの設定に関わるベストプラクティス集を利用する方法があります。各クラウドベンダーから公開されており、日本語版も用意されています。CISベンチマークという第三者機関が開発したセキュリティに関するガイドラインもあります。ただし、網羅性が高く項目も多いため、必要な項目を探すには時間がかかる場合もあります。

クラウドサービスが持つ特性

クラウド環境のオンプレミス型とSaaS型のサービスにおけるセキュリティ上の留意点は、主にシステム特性の違いから生じます。オンプレミス型では、ユーザ側が自組織内でインフラやソフトウェアを管理するため、完全なコントロールが可能です。しかし、これは同時にセキュリティ対策の全責任をユーザ側で負うことを意味します。定期的なアップデートやパッチ適用、物理的なセキュリティ確保など、あらゆる面での対策が必要となります。一方、SaaS型では、クラウド事業者がインフラやソフトウェアの管理を行うため、ユーザ側の負担は軽減されますが、アクセス制御や暗号化など対策はユーザ側でも求められます。両者の違いを理解し、適切なセキュリティ対策を講じることが重要です。

また、クラウドサービスは仕様やメニューの更新が必要な場合があるため、定期的に設定の確認が必要になります。クラウドサービスを安心して利用し続けるためには、利用するシステムの特性（スピード感・システム更新頻度・従来のシステムから移行しているかなど）を理解しておくことも重要になります。

セキュリティ設定診断の重要性

クラウドサービスのセキュリティに関する担当者の不安を払拭するのに有効な手段の一つが第三者機関によるセキュリティ設定診断です。適切なセキュリティ設定確認を自組織内ですべて確認するためには人的リソースなどの工数がかかります。セキュリティ設定診断では、自組織が扱う設定項目の確認を自動化し、セキュリティ担当者の負担の軽減につながります。また、第三者機関による網羅的な確認により、クラウドサービス利用時のリスクを可視化することができます。

クラウドサービスに関する設定項目の確認

設定ミスを起こさないためには、クラウドサービスにおけるセキュリティ設定を確実に確認する必要があります。以下の表のような情報を参考に、自組織が扱う設定項目の洗い出しやチェックリストの作成、委託先などとの認識共有を行うことが、設定ミスの予防に役立つでしょう。

出典：総務省「クラウドサービス利用・提供における適切な設定のためのガイドライン」
【図表Ⅲ．３．１－１クラウドにおけるセキュリティ設定項目の類型と対策】より弊社作成

設定項目のうち特に重要とされるのはアカウント管理であり、管理者などの特権アカウントについては、多要素認証や複数人でのチェック体制、ログの監視など、厳格な取り組みを行うことが強く推奨されます。

セキュリティガイドラインの紹介

パブリッククラウドにおけるセキュリティ設定の基準に、「CISベンチマーク」があります。CIS（Center for Internet Security）は、米国の複数の政府機関、企業、学術組織らがインターネットセキュリティの標準化に取り組む非営利団体です。OSを含む各種コンポーネントに対するベンチマークを策定しており、有効なセキュリティ評価基準として認識されています。パブリッククラウドにおいては、AWSをはじめ、Azure、GCP対応のCISベンチマークも公表されています。

また、自組織の環境の安全性をより高めていく上で、ツールやガイドラインの活用も有効です。

■クラウドサービス提供者向け
総務省
「クラウドサービス提供における情報セキュリティ対策ガイドライン（第3版）」
■クラウドサービス利用者・提供者向け
IPA
「中小企業の情報セキュリティ対策ガイドライン」付録6：中小企業のためのクラウドサービス安全利用の手引き」
総務省
「クラウドサービス利用・提供における適切な設定のためのガイドライン」
経済産業省
「クラウドセキュリティガイドライン活用ガイドブック」

まとめ

近年、クラウドサービスの設定ミスによる機密情報漏洩事例が増加しています。この問題の主な原因は、クラウドを利用している企業のセキュリティ対策の不明確さにあります。設定ミスを未然に防ぐために、セキュリティポリシーの策定と運用が重要です。これは組織の情報資産保護のためのルールやガイドラインを定めるものです。クラウドサービスを利用している企業は増加していますが、セキュリティ担当者は様々な不安を抱えています。これらを解消するには、ベストプラクティスに基づく適切な設定と定期的なセキュリティチェックが必要です。クラウド環境には、オンプレミス型とSaaS型があり、それぞれ特性が異なるため、両者の違いを理解し、適切なセキュリティ対策を講じることが重要です。

クラウドサービスの基本的なセキュリティ対策は、従来のオンプレミス環境での対策と同様の方法です。ただし、環境によって管理する内容が異なるため、クラウド環境特有のセキュリティ対策も必要となる点に注意が必要です。クラウドセキュリティの対策のポイントとしては、ベストプラクティスにもとづいた設定の見直しと、第三者機関による定期的なセキュリティチェックを受けることです。自組織において適切な対策を実施し、セキュリティリスクを最小限に抑えましょう。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年7月16日2025年8月13日

事例でみるクラウドサービスのセキュリティ
-クラウドサービスのセキュリティ2-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

クラウドサービスの利用は利便性などのメリットがある一方で、セキュリティリスクも伴います。サイバー攻撃の被害に遭った場合、データの漏洩やサービス停止に追い込まれてしまうなどのリスクがあります。実際、国内外でもクラウドサービス（SaaS）のセキュリティ設定ミスなどを原因としたセキュリティインシデントが発生しており、その影響は深刻です。本記事では、クラウドサービスの利用時におけるセキュリティリスク、具体的なインシデント事例、サプライチェーンでのセキュリティについて解説します。

クラウドサービス利用時のセキュリティリスク

クラウドサービスの利用が拡大する一方で、組織を脅かす要因（脅威）や様々なリスクが存在します。

【要因（脅威）】

不正アクセス：クラウド上のデータやシステムに対する未承認のアクセスは、企業情報の漏洩や改竄につながる可能性があります。
サイバー攻撃：DDoS攻撃やマルウェアの拡散は、サービスの停止やデータの破壊を引き起こすことがあります。
内部不正：従業員や内部関係者が意図的に不正行為を行うケースがあり、これは情報の盗難や破壊に直結します。
設定／管理の不備：アクセス権限の設定ミスやセキュリティパッチの適用漏れは、攻撃者にとって格好の侵入経路となります。

【リスク】

情報漏洩：クラウド上に保存されたデータが外部に流出することです。不正アクセスやサイバー攻撃、内部不正によって機密情報が漏洩すると、企業の信用が大きく損なわれ、顧客や取引先との信頼関係が崩壊する危険性があります。
情報改竄（消失・破壊）：クラウド上のデータが不正に改竄されたり、消失・破壊されたりすることです。サイバー攻撃や内部不正が原因でデータの整合性が失われると、業務運営に重大な支障をきたし、最悪の場合、ビジネスの継続が困難になることもあります。
システム停止：クラウドサービス自体が停止するリスクです。DDoS攻撃や設定／管理の不備によってシステムがダウンすると、サービス提供が一時的に停止し、顧客対応や取引が滞ることになります。これにより、企業の収益に直接的な影響を与え、長期的なビジネス成長にも悪影響を及ぼす可能性があります。

クラウドサービスのセキュリティインシデントの例

近年、クラウドサービスのセキュリティに関する設定が十分でなかったために、意図せず、クラウドサービスで管理している機密情報を無認証状態で外部に公開してしまい、機密情報を漏洩させてしまった事例が相次いで報告されています。以下に、国内で実際に発生したインシデントを例に挙げ、その原因、被害状況などを紹介します。

日本国内のクラウドセキュリティインシデントの報告事例（2023年）


報告年月	業種	原因	概要
2023年12月	総合IT企業	設定ミス	利用するクラウドサービス上で93万5千人以上の個人情報を含むファイルが公開設定となっており、閲覧可能な状態だった*1https://www.a-tm.co.jp/news/44238/
2023年6月	地方公共団体	設定ミス	利用するクラウドによるアンケートフォームの設定ミスにより、申込者の個人情報が漏洩していた。*2
2023年5月	自動車メーカー	設定ミス	関連会社が運用するクラウド環境に設定ミスがあり、管理委託する顧客約215万人分に係る情報が、外部より閲覧可能な状態だった。*3
2023年4月	空調設備メーカー	不正アクセス	利用するクラウド型名刺管理サービスで従業員になりすました不正アクセスが確認され、約2万件の名刺情報が第三者に閲覧された可能性*4

2023年5月に公表された国内自動車メーカーの事例について判明した内容は以下のとおりです。顧客に関する情報が、長いものでは約10年もの間、外部から閲覧可能な状態となっていました。


公表日	外部から閲覧された可能性のある情報	対象	閲覧可能になっていた期間
5月12日	車載端末ID、車台番号、車両の位置情報、時刻	2012年1月2日～2023年4月17日の間、該当サービスを契約していた約215万人	2013年11月6日～2023年4月17日
5月12日	法人向けサービスで収集されたドライブレコーダー映像	（非公開）	2016年11月14日～2023年4月4日
5月31日	車載端末ID、更新用地図データ、更新用地図データ作成年月	該当サービスに契約した顧客、および該当サービス契約者のうち、2015年2月9日～2022年3月31日の間に、特定の操作を行った顧客	2015年2月9日～2023年5月12日
5月31日	住所、氏名、電話番号、メールアドレス等	日本を除くアジア・オセアニア	2016年10月～2023年5月

本件に対しては個人情報保護委員会からの指導が入り、2023年7月には同社より以下に示した再発防止策が明示されています。サプライチェーンである委託先関連会社とも共有され、管理監督すると公表されました。自社のみならず、委託先についてもクラウド設定にセキュリティ上の不備がないか注意する必要があります。

技術的安全管理措置の強化
人的安全管理措置の徹底
機動的な委託先管理のための見直し

また、2023年12月7日、スマホアプリなどを提供している国内総合IT企業が、Googleドライブで管理していた一部ファイルが外部から閲覧可能な状態だったと公表しました。ファイルへのリンクを知っていれば、誰でもインターネット上でアクセス可能な状態だったといいます。インシデントの原因は、Googleドライブの閲覧範囲の公開設定を「このリンクを知っているインターネット上の全員が閲覧できます」にしていたことで、設定がされてから6年以上もの間、閲覧可能な状態となっていました。

クラウドサービスの設定ミスでセキュリティインシデントが多発している原因の一つとして考えられるのが、クラウドサービスを利用している企業や組織が対応すべき情報セキュリティ対策が曖昧になっていることです。クラウドサービス事業者とクラウドサービスユーザはお互いにクラウドサービスに対する責任を共有する「責任共有モデル」を多くの場合採用しています。しかし、実際にはクラウドサービス利用者側でのセキュリティの当事者意識が低いというケースが散見され、そのために設定ミスによるインシデントが多発していると考えられます。

サプライチェーンにおけるクラウドサービスのセキュリティ

クラウド上でソフトウェアを提供するサービス「SaaS」の利用が拡大するにともない、セキュリティに関するインシデントが多く報告されています。IPA（情報処理推進機構）が2023年7月に公開した「クラウドサービス（SaaS）のサプライチェーンリスクマネジメント実態調査」によると、セキュリティインシデントの主な原因として、クラウドサービス事業者のセキュリティ対策の不足や、利用者側のセキュリティ意識の欠如が挙げられています。また、サプライチェーン全体のセキュリティ管理の不備も大きな課題となっています。特に、クラウドサービスの利用状況の可視性が低く、インシデント発生時の対応が遅れることが、被害を拡大させる要因となっています。

さらに、同調査では、セキュリティ対策の強化が急務であるとする回答が多く寄せられました。具体的な対策としては、クラウドサービス提供者との連携強化、セキュリティ教育の徹底、サプライチェーン全体のセキュリティ監査の実施などが求められています。特に、サプライチェーン全体でのセキュリティ基準の統一と、インシデントが発生した際、迅速に対応ができる体制の構築が重要であると強調されています。

今回のアンケート調査の結果は、サプライチェーン全体でのセキュリティ意識の向上と、具体的な対策の実行が不可欠であることを示しています。

まとめ

クラウドサービスの利用が拡大する一方で、様々なセキュリティリスクが存在します。主な脅威としては、不正アクセス、サイバー攻撃、内部不正、設定や管理の不備が挙げられます。これらの脅威により、情報漏洩、情報改竄、システム停止といったリスクが生じる可能性があります。

クラウドサービスのセキュリティインシデントの例として、日本国内での具体的な事例が報告されています。例えば、総合IT企業では設定ミスにより93万5千人以上の個人情報が閲覧可能となっていたり、地方公共団体や自動車メーカーでは設定ミスにより申込者や顧客の個人情報が漏洩したりする事態が発生しています。

クラウドサービスのセキュリティインシデントの主な原因としては、クラウドサービス事業者のセキュリティ対策の不足や、利用者側のセキュリティ意識の欠如が指摘されています。セキュリティ対策の強化が急務であり、クラウドサービス提供者との連携強化、セキュリティ教育の徹底、サプライチェーン全体のセキュリティ監査の実施などが求められています。特に、サプライチェーン全体でのセキュリティ基準の統一と、インシデントが発生した際には、迅速な対応ができる体制の構築が重要です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年7月1日2025年5月12日

クラウドサービスとは
-クラウドサービスのセキュリティ1-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

現代のビジネス環境では、利便性や柔軟性などのメリットがある、クラウドサービスの利用が急速に広がっています。クラウドサービスは、インターネットを通じて提供される様々なサービスです。本記事では、クラウドサービスの基本概念から提供形態、さらにクラウドサービスの種類やクラウドサービスを利用することで得られるメリットについて解説します。

クラウドサービスとは

クラウドサービスとは、インターネット環境で提供される様々なサービスのことを指します。利用者は自宅や外出先から、インターネットなどのネットワークを介してクラウドサービスにアクセスします。

クラウドという名称は、ネットワークの模式図上で、インターネットなどの外部ネットワークを雲（Cloud）のような形状で表現していたことに由来しています。ひとつの雲で表されますが、実際には複数のサーバ機器やネットワーク機器で構成され、サーバにはサービスに必要なソフトウェアが導入されています。

従来、コンピュータのハードウェアやソフトウェアは利用者が自ら保有・管理していましたが、クラウドサービスは、物理的なサーバや設備を利用者側で管理する必要がなく、利用者が必要なときに必要な分だけリソースを利用できるため、柔軟性が高く、コスト効率にも優れています。代表的な形態には、ソフトウェアを提供するSaaS、プラットフォームを提供するPaaS、インフラを提供するIaaSの3種類があります。

クラウドサービスの提供形態

クラウドサービスは、パブリッククラウドとプライベートクラウドという提供形態に分かれます。それぞれの特性を理解し、企業のニーズに合ったクラウドサービスを選択することが重要です。

パブリッククラウド

クラウド事業者が同じアプリケーションや環境を利用者に提供し、利用者が共有して使用する形態。初期費用が不要で、運用管理もクラウド事業者に任せることが可能です。パブリッククラウド（クラウド事業者）の内、特に世界的にシェアの高い3大クラウドと言われているのが以下のクラウド事業者です。

・AWS（Amazon Web Service）
　2006年開始の老舗クラウド。圧倒的なサービス種類の豊富さと拡張性の高さを誇る。
・Microsoft Azure
　機能が多く、WindowsやMicrosoft OfficeなどのMicrosoft製品との親和性が高い。
・GCP（Google Cloud Platform）
　Googleがクラウド上で提供するサービス群。GmailやYouTube基盤として実績あり。

プライベートクラウド

企業や組織が自社専用のクラウド環境を構築し、社内やグループ会社に提供する形態。プライベートクラウドにはさらに二つのタイプがあります。

オンプレミス型
自社内でインフラの構築を行い、データセンターで運用します。カスタマイズ性が高いのが特徴です。ITリソースを完全にコントロールできるため、機密性の高いデータを扱う企業に向いています。ただし、初期投資と維持費用が高く、専門のITスタッフが必要です。
ホスティング型
外部のクラウド事業者が社内専用のクラウド環境を提供します。自社での管理負担を軽減しつつ、セキュリティとカスタマイズ性を確保できます。オンプレミス型よりもコスト効率が良く、運用管理はクラウド事業者に依存するため、企業のリソースを他の業務に集中できます。

クラウドサービスの主な種類

企業や組織で多く使われるクラウドサービスには、主に3つの種類があります。

IaaS(Infrastructure as a Service)

IaaSは「Infrastructure as a Service」の略で、利用者が選択したスペックやOSに合わせた、仮想的なマシン（インフラ）を提供します。利用者側で必要なアプリケーションをさらにインストールするなどして、用途に合わせてカスタマイズできます。AWS、Microsoft Azure、Google Compute Engineなどが代表的なサービスの例です。

PaaS(Platform as a Service)

PaaSは「Platform as a Service」の略称で、IaaSが提供する仮想マシンに加え、上位のミドルウェアを含め提供するプラットフォームです。PaaSは開発者にインフラの管理をせずにアプリケーションの構築、テスト、デプロイ、管理を行える環境を提供します。これにより、開発者はインフラの複雑な設定やメンテナンスから解放され、開発に集中できます。AWSのElastic Beanstalk、Google App Engine、Microsoft AzureのApp Servicesなどが代表的なサービスの例です。

SaaS(Software as a Service)

SaaSは「Software as a Service」の略で、クラウド上でソフトウェアを提供するサービスです。ユーザはソフトウェアをインストールする必要がなく、インターネットを介してアクセスするだけで利用できます。SaaSの利点は、どこからでもアクセスできること、常に最新のソフトウェアを利用できること、そしてメンテナンスやアップデートがプロバイダーによって管理されることです。Google Workspace、Microsoft Office 365、Salesforce、Dropbox、Zoomなどが代表的なサービスの例です。SaaSは手軽さとコスト効率の高さから、企業で幅広く利用されています。

クラウドサービスの特徴

クラウドサービスには5つの特徴があります。

柔軟なリソース管理：システムの拡張・縮小が迅速に行えます。必要なときに必要なリソースを追加・削減することが可能です。
オンデマンド・セルフサービス：ユーザ自身でWeb画面からシステム設定ができ、必要なサービスやリソースを自由に変更できます。
リソースの共有：複数のユーザが同じリソースを共有することで、コストの最適化が図れます。
従量課金制：サービス利用量を常に計測し、使った分だけ支払う仕組みで、コストを抑えることができます。
場所を問わないアクセス：インターネットさえあれば、どこからでもアクセスでき、リモートワークや外出先での利用が可能です。

クラウドサービス利用のメリット

企業や組織などでクラウドサービスの利用が飛躍的に進んだ主な理由には、以下のような効果があることが挙げられます。これらはパブリッククラウド上でクラウドサービスを提供する側からみた恩恵ですが、結果的に、利用するユーザ側のメリットにもつながります。

※主要なパブリッククラウド事業者を利用した場合の標準的なメリットであり、利用するサービスや契約内容により異なる場合があります。

まとめ

クラウドサービスは、インターネットを介して提供される様々なサービスの総称です。利用者は自宅や外出先から、インターネットなどのネットワークを介してクラウドサービスにアクセスします。クラウドという名称は、ネットワークの模式図で外部ネットワークを雲のように描いたことに由来します。

従来のコンピュータハードウェアやソフトウェアは利用者が自ら管理していましたが、クラウドサービスでは物理的なサーバや設備を管理する必要がなく、必要な時に必要な分だけリソースを利用できるため、柔軟性が高く、コスト効率にも優れています。代表的な形態には、ソフトウェアを提供するSaaS、プラットフォームを提供するPaaS、インフラを提供するIaaSの3種類があります。

クラウドサービスの提供形態は、パブリッククラウドとプライベートクラウドに分かれます。パブリッククラウドは、クラウド事業者が提供する共用のクラウド環境で、初期費用が不要で運用管理を任せることができます。主要なパブリッククラウド事業者には、Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP)があります。プライベートクラウドは、企業や組織が自社専用のクラウド環境を構築し、オンプレミス型とホスティング型の2タイプがあります。

クラウドサービスの利用は、迅速性・柔軟性、コスト抑制、高い利便性、高い可用性などのメリットがあり、これらが利用するユーザ側の利便性向上につながっています。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年6月14日2025年5月12日

ソーシャルエンジニアリングとは？その手法と対策

Security NEWS TOPに戻る
バックナンバー TOPに戻る

今回は、サイバー攻撃の変わり種、システムではなく人間の弱点に付け入る攻撃、ソーシャルエンジニアリングを紹介します。

まずソーシャルエンジニアリングの具体的な手法を挙げ、どのように人間の弱点が利用されるのかを説明し、日本で起こったソーシャルエンジニアリングによる被害実例を紹介します。

途中ちょっと寄り道をして、オレオレ詐欺はソーシャルエンジニアリングなのかどうかについて考えつつ、最後に具体的かつ実践的な対策方法と、逆効果となる、とある対策・管理方針について言及します。

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングは、人の心理を巧みに操り、重要な情報を引き出す手法です。この手法を使った攻撃がソーシャルエンジニアリング攻撃で、攻撃者は情報収集やシステムへの不正アクセスなどを目的に、人を心理的に操作して、攻撃者にとって都合のいい行動を起こさせます。

認知能力、心理など「人間の脆弱性」を攻撃するソーシャルエンジニアリング

アメリカの非営利のセキュリティ研究団体MITRE社の説明によると、ソーシャルエンジニアリングとは、人心を巧みに操り、その弱みにつけこんで、悪意ある相手に利するような行動や情報を引き出すというものです。具体的な例を挙げると、技術的な手段によらずに、口頭による会話といった「社会的（ソーシャル）」な手段で、ID・パスワードなどの重要情報を、巧みなやり方で関係者から直接聞き出す行為などがソーシャルエンジニアリングです。大きくは、人間の認知能力のさまざまな弱点やスキにつけ込む手法全般のことだといえるでしょう。

脆弱性診断サービスを提供するBBSecとして「脆弱性」という観点で申し上げるなら、ソーシャルエンジニアリング攻撃は「システムやソフトウェアではなく人間の脆弱性を突く攻撃」と言うことができます。

ソーシャルエンジニアリングの手法

以下に典型的なソーシャルエンジニアリングの手法を挙げます。

・ショルダーハッキング
　例）パスワード等をユーザの肩越しに覗き見る
・トラッシング（スカベンジング）
　例）清掃員などに変装して標的組織に侵入し、書類やHDDなどのゴミや廃棄物をあさる
・なりすまし電話
　例）システム担当者などになりすましてパスワードなどを聞き出す
・ベイティング
　例）マルウェアを仕込んだUSBメモリを廊下に落とす
・フィッシング（ヴィッシング、スミッシング等含む）
　例）信頼できる存在になりすまし、ID・パスワード、クレジットカードなどの情報を入手する
・ビジネスメール詐欺
　例）取引先などになりすまし、犯人の口座へ振込を行わせる
・標的型攻撃メール
　例）ターゲットに対する入念な調査に基づいて作成した、完成度の高いなりすましメールを送る

たとえば「なりすまし電話」ですが、上記に挙げた例とは逆に、入社したばかりの何も知らない社員を装ってシステム担当者に架電し、やり方がわからないふりをするなどして徹底的にイライラさせて、思わずパスワードを口に出させるなどの方法も存在します。人間の認知能力のスキをつくソーシャルエンジニアリングには、実にさまざまな方法があるのです。

ソーシャルエンジニアリングの最大の特徴とは

人の脆弱性を突くソーシャルエンジニアリングの最大の特徴は、ターゲットを信頼させ、攻撃者に有益な情報の提供などを自発的に行わせてしまう点にあります。MITRE社の説明に「人を操る」とあった通り、権力や暴力を振りかざして重要情報を聞き出した場合、それは単なる脅迫であってソーシャルエンジニアリングではありません。

ターゲットの心を意のままに操作して、自発的に、ときに笑顔で協力させてしまう点にこそ、ソーシャルエンジニアリングを行う犯罪者の真骨頂があります。

ソーシャルエンジニアリングはどのように人間の弱点につけ込むのか

ソーシャルエンジニアリングは攻撃対象が信頼してしまう存在などになりすましてターゲットを信頼させ、心を開かせたり油断させることで行われます。

そのために攻撃者がしばしば目を付けるのが、「権威」に対する人間の弱さです。会社の取締役を装って電話をかける、得意客になりすましたビジネスメールを送る、大手金融機関や有名ブランドをかたったフィッシングメールを送る、などの手口に騙されるのが典型的なケースです。

なお、メールアカウントを乗っ取って旧知の取引先などになりすましたメールを送信することで拡散を図るEmotetは、フィッシングを行うマルウェアであり、ソーシャルエンジニアリングの一類型と言うことができます。

オレオレ詐欺はソーシャルエンジニアリングか

権威以外にも「義務感」「正義感」あるいは「好意」につけ込む方法もよく用いられます。多くの人は、困っている人に出会ったら「助けなければ」と感じます。助ける相手が親しい人物や好感を持てる人物であればなおさらです。

そこで思い浮かぶのがオレオレ詐欺ですが、ちなみに、この手の犯罪は、「ソーシャルエンジニアリング」なのでしょうか？

答えはNoです。ソーシャルエンジニアリングは、コンピュータセキュリティの文脈で使われる言葉であり、コンピュータやシステムへの不正アクセスを行うことを目的のひとつに含むという前提があります。そのため、オレオレ詐欺がソーシャルエンジニアリングと呼ばれることは一般にはほとんどありません。

ニューノーマル、テレワーク時代に気をつけたいソーシャルエンジニアリング

大きな環境変化の最中や直後などは、ソーシャルエンジニアリングの絶好の機会です。平時にはない緊張を強いられることで人々の不安やストレスが増し、感情的に動揺しやすくなるためといわれています。2020年、新型コロナウイルスの感染が一気に拡大した当初も、品薄状態だったマスクの配布をうたうメールやWebサイト、保健所からの連絡を装った攻撃などが複数確認されました。ニューノーマル時代、こうした攻撃に引き続き警戒が必要であることはいうまでもありません。

また、テレワークによって従業員どうしが切り離された就業環境においては、フィッシングメールや標的型攻撃メールの感染確率が上がると言われています。これは、オフィスにいたなら同僚や情報システム部門に「変なメールが届いた」と気軽に相談できていたことが、テレワークによって難しくなるからです。

日本で起こったソーシャルエンジニアリングの実例

2015年に発生した日本年金機構の情報漏えい事件は、「【医療費通知】」という件名の標的型攻撃メールが公開メールアドレスに届き、その添付ファイルを開いたことが発端であったとされています。

また、2017年に大手航空会社がビジネスメール詐欺で数億円をだましとられた事件も、2018年に仮想通貨取引所から暗号資産が流出した事件も、いずれもソーシャルエンジニアリングが攻撃のステップのひとつとして用いられています。

ソーシャルエンジニアリング対策・防止策

では、こうしたソーシャルエンジニアリングを防止する対策方法には、どのようなものがあるのでしょうか。

「ソーシャルエンジニアリングの手法」で挙げた攻撃に対しては、たとえばショルダーハッキングならプライバシーフィルターを利用する、ビジネスメール詐欺ならメールの指示をうのみにせず本人に電話をして確認するなど、さまざまな対策方法が存在します。また、近年攻撃者はSNSを活用してターゲットに関する情報を集めることが知られていますので、SNSの利用に組織としてルールを設けるなどの方法も有効です。研修や教育なども効果があります。

しかしその一方で、人間の脆弱性を突く攻撃を完全に防ぐことはできない、という観点に基づいた対策も、併せて必要になります。攻撃を防ぐ対策と同時に、攻撃が防げなかった場合（成功してしまった後）の対策も考える必要があるのです。BBSecはこの考えのもと、標的型攻撃リスク診断やペネトレーションテストなどのサービスを提供し、攻撃を受けることを前提としたセキュリティ対策に取り組む企業・組織の皆様をご支援しています。

企業が絶対にやってはいけないソーシャルエンジニアリング対策

ソーシャルエンジニアリングは人間の脆弱性を突く攻撃です。だからこそ、対策として絶対にやってはいけないことがあります。それは、騙された人を叱責する、何らかのペナルティを与える等の懲罰主義の管理です。

罰を受けるのを恐れることによって、事故が発生しても報告がなされず、それが、インシデントの発見の遅れを招き、組織にとっての致命傷を生むことがあります。あなたも私も、人間は皆、あやまちを犯す生き物なのです。あやまちを犯すことが覆い隠されてしまうような管理は、何の成果も上げられないでしょう。

まとめ

ソーシャルエンジニアリングとは、人の心を操って重要情報等を聞き出したりすることです。
ショルダーハッキング、フィッシング、ビジネスメール詐欺、標的型攻撃メールなど、さまざまな手法があります。
ソーシャルエンジニアリングは、「権威」「義務」「好感」などに惑わされる人間の弱さをあらゆる手口で突いてきます。
環境が急激に変化する時は、ソーシャルエンジニアリングの付け入るスキが生まれます。ニューノーマルや急速なテレワーク化への対応を迫られる現在も、その例外ではありません。
懲罰主義による管理は、ソーシャルエンジニアリング対策として何の効果もなく、インシデント発生の対応が遅れる要因になります。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年6月4日2025年5月12日

サプライチェーン攻撃への対策 -サプライチェーン攻撃の脅威と対策3-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サプライチェーンは、サイバー攻撃のリスクや予測不可能な事象による中断リスクなどのリスクを抱えており、サプライチェーン攻撃を受けてしまった場合には生産性の低下や企業の信用失墜につながる可能性もあります。このためサプライチェーン全体のリスク管理が重要です。この記事では、サプライチェーン攻撃のリスクマネジメントを紹介しつつ、サプライチェーンのセキュリティ対策のポイントについて解説します。

サプライチェーンのセキュリティ課題

サイバー攻撃の手法も多様化している中、多くの企業がサプライチェーンのセキュリティ課題に直面しています。課題はサプライチェーンの規模と煩雑さ、そしてグローバル化に伴う規制の厳格化など、多岐にわたります。

サプライチェーンは多くの企業や組織が関与していることから、お互い密接に連携しているため、一か所にほころびが生じると、それがサプライチェーン全体に影響を及ぼす可能性があります。サプライチェーンの弱点を悪用した攻撃によるリスクにおいては、自然災害やパンデミック（感染流行）といった環境リスク、テロや政治的不安定といった地政学的リスク、経済危機や原材料の価格変動による経済リスクなどの予測不可能な事象によってサプライチェーンに大きな影響を与えます。

特にサプライチェーン攻撃の場合は自組織が攻撃者に狙われ、火元になった場合、どこまで全体に影響があるのか調査するのに時間がかかります。たとえ火元を見つけられなかった場合でも、自組織が委託元企業であった場合には監督責任を問われる可能性がでてきます。これらのリスクによって生産性が低下したり、企業の信用が失墜したりする可能性があり、サプライチェーンリスク管理の重要性が高まっています。

サプライチェーンの産業において安定的な供給をするためには、グローバル化への対応、予測困難なリスクへの対応、消費者ニーズの把握という三つの主要な課題に対処することが不可欠です。これらの課題を克服するためには、サプライチェーンマネジメント（SCM）の導入が効果的です。サプライチェーンマネジメントを利用することで、在庫管理の最適化、リードタイムの短縮、適切な人材配置が可能になり、企業間での情報共有も促進されます。これにより、消費者ニーズに即応しやすくなります。

サプライチェーンリスクマネジメントとは

サプライチェーンリスクマネジメント（SCRM）は、サプライチェーン全体のリスクを管理し、予測不可能な事象からビジネスの継続性を保護するための戦略的アプローチです。このプロセスには、サプライチェーンを構成するすべての関係者とその活動が含まれます。リスクマネジメントは、外部委託先やサプライヤーのセキュリティ対策を評価し、それに基づいて適切な対策を講じることが重要です。情報漏洩やサイバー攻撃などのセキュリティインシデントが発生した場合、サプライチェーン全体の業務に影響を及ぼす可能性があるため、事前のリスク評価と定期的な監査が求められます。

サプライチェーン攻撃への対策方法

サプライチェーン攻撃への対策を実施することは、単にリスクを軽減するだけではなく、企業のセキュリティ体制を強化することにもつながります。主な対策を挙げると、セキュリティポリシーの整備・運用の見直しの実施、従業員教育の徹底などがあります。具体的には、サプライチェーンの各プロセスでセキュリティチェックを行うこと、委託元・委託先との契約の際にセキュリティ要件を定義し、定期的な監査を行う、そして従業員のセキュリティトレーニングの実施や、インシデント対応計画の整備をすることなどが挙げられます。さらに、サプライチェーン全体のセキュリティを向上させたい場合、組織で最新のセキュリティ関連情報を収集し、外部からの攻撃に迅速に対応できるよう体制を整えることが推奨されます。セキュリティ専門企業による定期的なセキュリティ診断を受けることで、脆弱性のリスクを発見し、脆弱性対策に取り組むことも重要です。これらの取り組みを通じて、攻撃リスクを効果的に低減することが可能になります。

ガイドラインとプラクティス集

サプライチェーンのセキュリティを確保するためには、各業界が公開しているセキュリティガイドラインやベストプラクティス集を参照することをおすすめします。各業界のガイドラインには、リスク管理のフレームワークの確立、サプライヤーとの連携におけるセキュリティ要件の統合、定期的なセキュリティ監査と評価の実施が含まれます。また、インシデント対応計画の策定や訓練を通じて、万が一の事態に迅速かつ効果的に対応できる体制を整えることも重要です。さらに、業界団体やセキュリティ専門家が提供する最新のセキュリティ情報やトレンドには常に注意を払い、対策を見直すことも重要です。

・経済産業省
　「サイバーセキュリティ経営ガイドラインVer3.0」
・独立行政法人情報処理推進機構（IPA）
　「サイバーセキュリティ経営ガイドラインVer3.0実践のためのプラクティス集」
・経済産業省
　「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0」
・日本自動車工業会(JAMA)/日本自動車部品工業会(JAPIA)
　「自工会/部工会・サイバーセキュリティガイドラインV2.1」
・CISA（サイバーセキュリティインフラセキュリティ庁）
　「Securing the Software Supply Chain: Recommended Practices」

自動車産業は、近年サイバー攻撃の標的になりやすいことから、業界全体でサイバー攻撃への対策強化に力を入れています。サイバー攻撃から自組織を守るためにも、ガイドラインに従い、セキュリティ対策に取り組むことが重要です。

NISTサイバーセキュリティフレームワークV2.0

NIST（米国立標準技術研究所）が2024年2月26日にリリースした「NIST’s cybersecurity framework (CSF) Version 2.0」は、2014年のV1.0のリリース以来、10年ぶりにメジャーアップデートされた文書です。このフレームワークは、組織がサイバーセキュリティリスクを理解、評価、優先順位付け、そして対処するための指針を提供することを目的として、中小企業を含むあらゆる企業や組織での利用を促し、サプライチェーンリスクに注目した内容に改定されています。

サプライチェーンのセキュリティ対策のポイント

サプライチェーン攻撃に対しては、サプライチェーン全体で基本的な情報セキュリティ対策の実施に取り組むことが重要です。

基本的な情報セキュリティ対策の例

・情報資産の可視化
・OSやソフトウェアの最新状態へのアップデート
・権限管理による重要情報取り扱い者の絞り込み
・パスワードの強化
・脆弱性診断等によるセキュリティ上の問題の可視化
・マルウェア対策製品の導入
・アクセス制御ソリューションの導入
・従業員全員に対するセキュリティ教育の定期実施
・インシデント発生時の対応手順等セキュリティに関するルールの策定・周知

サプライチェーン全体への取り組みの例

・アンケート等を用いたサプライチェーン上の各企業におけるセキュリティ状況の把握
・サプライチェーン上にセキュリティ水準の異なる企業があるか確認
・サプライチェーン上の企業間における重要情報の定義と取り扱い方法の取り決め実施

ポイントは、常に自社/自組織が当事者であるという姿勢です。以下のような基本的な対応がとられているか、今一度ご確認いただくことをおすすめします。

・自社/自組織のセキュリティ状況の把握と対策
・取引先/委託先のセキュリティ対策状況の監査
・使用しているソフトウェアに関する脆弱性情報のキャッチアップ　等

また、ソフトウェアサプライチェーン攻撃への対策としては、以下のガイドラインもあわせて参照することを推奨します。

・経済産業省商務情報政策局サイバーセキュリティ課
　「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引Ver.1.0」

「SBOM （Software Bill of Materials）」について、SQAT.jpでは以下の記事でご紹介しています。
こちらもあわせてご覧ください。
「脆弱性管理とIT資産管理-サイバー攻撃から組織を守る取り組み-」

・「OSS の利活⽤及びそのセキュリティ確保に向けた管理⼿法に関する事例集」

今一度セキュリティ対策の見直しを

サイバー攻撃手法は日々更新されており、どんなにセキュリティ対策を実施していても自組織のみではインシデント発生を防ぎきれないのが実情です。自組織のシステムのリスク状況の把握には、脆弱性診断の実施がおすすめです。また、サイバー攻撃への備えとして、セキュリティ対策の有効性の確認には信頼できる第三者の専門家の目線もいれることをおすすめします。

まとめ

サプライチェーン構造は、企業間の密接な連携により複雑化しているため、一点のほころびが全体に影響を与える可能性があります。またサプライチェーンは、サイバー攻撃、自然災害、地政学的不安定、経済危機など様々なリスクに晒されています。特にサプライチェーン攻撃は、狙われた企業の直接的な被害だけではなく、そこに関連する企業が火元となった場合、監督責任を問われることもあります。これにより、生産性の低下や企業の信用失墜など、深刻な結果を招くことも考えられます。

このため、サプライチェーンの安定供給を実現するには、グローバル化の進展、予測困難なリスクへの対応、消費者ニーズの正確な把握が重要です。これらの課題に効果的に取り組む方法として、サプライチェーンマネジメント（SCM）の導入が推奨されています。SCMを利用することで、在庫管理の最適化、リードタイムの短縮、適切な人材配置が可能になり、企業間の情報共有も促進されます。

また、サプライチェーンリスクマネジメント（SCRM）は、サプライチェーン全体のリスクを評価し、適切な対策を講じることでビジネスの継続性を保護する戦略的アプローチです。リスクマネジメントには、情報漏洩やサイバー攻撃への迅速な対応、外部委託先やサプライヤーのセキュリティ対策の評価、定期的な監査が含まれるため、予測不可能な事象において備えておきたい重要なポイントです。

セキュリティを向上させるための策としては、セキュリティポリシーの整備、従業員教育の徹底、サプライチェーンプロセスでのセキュリティチェック、セキュリティ要件の定義と監査の実施が重要です。また、セキュリティ診断を受けることで脆弱性を発見し、それに対処することも推奨されています。

さらに、各業界のセキュリティガイドラインやベストプラクティスを活用することも推奨されます。これにはリスク管理フレームワークの確立やセキュリティ監査の定期実施が含まれ、ガイドラインに準拠することで、サプライチェーン全体のセキュリティを向上させ、万が一サプライチェーン攻撃を受けてしまった場合でも、リスクを最小限にすることが可能になります。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年5月13日2025年5月12日

事例から学ぶサプライチェーン攻撃
-サプライチェーン攻撃の脅威と対策2-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サプライチェーン攻撃は、セキュリティ対策が手薄な関連企業や取引先企業を経由して、標的とする企業へ不正侵入をするサイバー攻撃です。被害に遭ってしまった場合、情報の窃盗、マルウェアの拡散、さらには全体のサプライチェーンに影響を及ぼす可能性があります。この記事では、サプライチェーン攻撃の手口とリスク、そしてサプライチェーンマネジメントの重要性ついて解説します。

サプライチェーン攻撃とは？

サプライチェーン攻撃とは、ターゲット企業に直接攻撃を仕掛けるのではなく、その企業のサプライチェーン（業務委託先やグループ会社・関連企業など）に含まれるセキュリティの弱点を利用して侵入を試みるサイバー攻撃のことです。攻撃者は企業間の信頼関係を利用し、よりセキュリティが手薄な一部のパートナー企業やサプライヤーを狙い、そこを踏み台にして間接的に本来のターゲット企業へ侵入を試みます。

企業がサプライチェーン攻撃を受けた場合、その影響は様々あります。最初に侵入された企業から機密情報・顧客データなどの重要情報が漏えいする可能性があります。さらに、攻撃者によってマルウェアやランサムウェアが仕込まれた製品やソフトウェアがユーザに配布されることで、エンドユーザのシステムも危険に晒されます。これにより、企業の顧客やパートナーに対する信頼が損なわれ、ブランドの評判に深刻な影響を及ぼすことになります。

経済的損失もまたサプライチェーン攻撃の影響の一つです。企業が被害を受けてからのシステム復旧までの対応には、莫大な費用がかかります。さらに、法的責任と法令遵守に関する問題も発生します。多くの地域で、データ保護規制が厳しくなっており、機密情報の漏えいは法的な罰則につながる可能性があります。これにより、企業は訴訟リスクに直面し、さらに罰金や制裁の対象となる可能性があります。

サプライチェーン攻撃の手口

サプライチェーン攻撃の手口にはいくつか種類があります。関連組織を起点として攻撃するタイプではなく、そのソフトウェアの開発元を侵害することによってユーザ全体に影響を与えるタイプの攻撃にソフトウェアサプライチェーン攻撃があります。

ソフトウェアサプライチェーン攻撃

ソフトウェアサプライチェーンとは、「ソフトウェア開発のライフサイクルに関与する全てのモノ（ライブラリ、各種ツール等）や人の繋がり」（独立行政法人情報処理推進機構（IPA）「情報セキュリティ10大脅威 2024」解説書より）を指します。ソフトウェアを開発・配布・アップデートする際の一連の流れをソフトウェアサプライチェーンと呼び、このソフトウェアサプライチェーンを悪用した攻撃がソフトウェアサプライチェーン攻撃です。

攻撃者は主にソフトウェア開発元やMSP等提供事業者などを狙い、本来のターゲット企業を攻撃するための足掛かりにします。製品自体だけではなく、開発元や提供元が侵害された事例などもあります。

サプライチェーン攻撃のなかでセキュリティが脆弱な企業が狙われるのは他のサプライチェーン攻撃のパターンと同じですが、ソフトウェアサプライチェーン攻撃により、攻撃者に踏み台にされた企業は、被害者であると同時に、ウイルスが仕込まれたソフトウェアを配布するかたちになり、気づかないうちに攻撃に加担した加害者の一部となってしまう恐れがあります。

サプライチェーンリスクとは？企業が直面するリスク

サプライチェーンに関わる企業は様々なリスクに直面しており、これには自然災害やパンデミック（感染流行）といった環境リスク、テロや政治的不安定といった地政学的リスク、経済危機や原材料の価格変動による経済リスク、そしてサイバー攻撃や技術的障害などの技術リスクなどが含まれます。このような予測不可能な事象が起こり、サプライチェーンの流れが中断されてしまった場合、生産の遅延、在庫不足、最終的には収益損失を引き起こす可能性があります。さらに、リスクの重要度は社会経済状況によっても左右されるため、企業は柔軟な対応が求められます。

サプライチェーン攻撃のリスク

サプライチェーン攻撃によるリスクは、企業や組織にとって深刻です。主なリスクには、機密情報の漏えい、データの改ざん、システム障害や業務の停止があります。さらに、ランサムウェアによる身代金要求やブランド価値の低下といった被害も考えられます。これらの影響は芋づる式に広がり、サプライチェーン全体が脅威にさらされることになります。また、サプライチェーンには委託元が委託先（もしくは再委託先）で開発状況を監視できていないという問題もあるため、脅威に晒されています。

サプライチェーン攻撃の事例

事例1：国内大手自動車メーカーの例

サプライチェーン攻撃の代表的な事例としては、国内大手自動車メーカーの例が挙げられます。2022年3月、国内大手自動車メーカーが部品を仕入れている取引先で、マルウェア感染被害によるシステム障害を受けたため、国内の全14工場の稼働を停止する事態に追い込まれました。

日本の会社の約9割は中小企業が占めており、大企業の関連会社、取引先企業の中には中小企業が多数あります。中小企業では大企業ほどセキュリティ対策にコストや人を費やすことができず、どうしてもセキュリティは手薄になりがちです。このため、サプライチェーン攻撃は大きな問題となっています。国内大手自動車メーカーの事例は、サプライチェーン攻撃の深刻な影響を示す典型的な例となり、中小企業でもサイバーセキュリティ対策の重要性が高まっています。

事例2：国外ソフトウェア開発会社の例

2020年12月、SolarWinds社のOrion Platformに端を発した史上最大規模のサプライチェーン攻撃*5がありました。悪意あるアップデートを介して行われ、多数の政府機関や企業を含めた組織に影響を与えました。

事例3：大手フリマアプリ運営会社の例

2021年4月、コードのカバレッジを測定するツール「Codecov」*2への不正アクセスにより、同ツールのサプライチェーンで多数の組織・企業に被害が出ました。その1つが国内大手フリマアプリ運営会社で、GitHub（社内のコードリポジトリ）に保存された同社のソースコードが取得され、一部の個人情報が外部流出する被害が出ました。

事例4：国内大手保険会社の例

2023年1月、国内大手生命保険社において、顧客情報が漏えいしました。この事件は業務委託先業者が管理するサーバが不正アクセスを受けたことが原因です。漏えいした顧客データには、姓（漢字・カナ）、年齢、性別、証券・保険番号などの情報が含まれていましたが、幸い、これらの情報だけでは個人を特定するのは困難とされ、悪用される可能性は低いと説明されています*3。

事例5：メッセージアプリ提供会社の例

2023年11月27日、インターネット広告、イーコマースなどを展開するメッセージアプリ提供会社は、自社のサーバが不正アクセスを受け、運営するメッセージアプリに関するユーザ情報、取引先情報、従業者情報等の情報漏えいが発生したことを公表しました*4。これはメッセージアプリ提供会社と関係会社共通の委託先業者の従業員のPCがマルウェアに感染したことが発端だといいます。同社と関係会社の従業者情報を扱う共通の認証基盤で管理されているシステムへ、ネットワーク接続を許可していたことから、関係会社のシステムを経由し、同社のシステムに不正アクセスが行われたとのことです。

事例6：国内通信会社の提供先企業に不正アクセス、顧客情報が漏えい

2023年11月22日、国内通信会社は、米国Plume Design社とその提携先が提供するメッシュWi-Fiサービスに関連して、サプライチェーン攻撃による顧客情報の漏えいを発表しました*5。この事件は、Plume Design社のモバイルアプリのアクセスサーバが外部から不正アクセスされたことによるもので、国内通信会社の顧客データと関連事業者の保有する個人情報（氏名、メールアドレス）が漏えいしました。

産業用制御システムのセキュリティ

サプライチェーン攻撃の影響が経済的損失や社会的信用の失墜につながることを述べましたが、攻撃者がサプライチェーン攻撃を仕掛けるときに狙うものの一つに産業用制御システムが挙げられます。産業用制御システムは、電気・ガス・水道や空港設備といったインフラ施設、石油化学プラントなどにおいて用いられ、サプライチェーン攻撃などのサイバー攻撃を受けてしまった場合、社会的な影響や事業継続上の影響が大きいため、サプライチェーンに関わる企業全体でセキュリティ対策へ取り組むことが重要となります。

2022年5月、ドイツ連邦政府情報セキュリティ庁（BSI）が公開した産業用制御システムにおける危険度の高い10種類の脅威とその対策を、独立行政法人情報処理推進機構（IPA）が日本語に翻訳し、同年12月に公開しました。

産業用制御システムのセキュリティ 10大脅威（2022年）

・リムーバブルメディアやモバイルシステム経由のマルウェア感染
・インターネットやイントラネット経由のマルウェア感染
・ヒューマンエラーと妨害行為
・外部ネットワークやクラウドコンポーネントへの攻撃
・ソーシャルエンジニアリングとフィッシング
・DoS/DDoS 攻撃
・インターネットに接続された制御コンポーネント
・リモートメンテナンスアクセスからの侵入
・技術的な不具合と不可抗力
・サプライチェーンにおけるソフトウェアおよびハードウェアの脆弱性
参考：https://www.ipa.go.jp/security/controlsystem/bsi2022.html

この10大脅威は、日本国内でも共通の事項が多く、事業者にとってセキュリティ対策への取り組み方を体系的に理解することに役立つとのことです。

まとめ

サプライチェーン攻撃は、企業のサプライチェーンに含まれるセキュリティの弱点を狙ったサイバー攻撃です。この攻撃は、セキュリティ対策が薄い業務委託先や関連企業を通じて、間接的にターゲット企業に侵入します。被害に遭った場合、機密情報や個人情報が漏えいし、企業の信頼とブランド評判が損なわれます。特にソフトウェアサプライチェーン攻撃では、ソフトウェアの開発元が侵害されることで、利用者も危険に晒されます。また、サプライチェーンは自然災害や政治的不安定、技術的障害などにより事業中断を迫られる恐れもあります。

サプライチェーン攻撃によるリスクは企業にとって深刻で、機密情報の漏えい、データの改ざん、システム障害が主な脅威です。そのため、サイバーセキュリティ対策の重要性が増しており、企業はサプライチェーン全体のセキュリティ強化に努める必要があります。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年4月25日2025年5月12日

サプライチェーンとは
-サプライチェーン攻撃の脅威と対策1-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

「サプライチェーン」とは、製品やサービスが消費者の手に渡るまでの一連の流れを指します。この流れの中では多くの企業や組織が関与し、互いに密接に連携しています。情報技術製品が対象となるものもあるため、セキュリティの確保が特に重要視されます。この記事では、サプライチェーンの基本的な概念と、サプライチェーンの重要性、そしてサイバーセキュリティとの関連性について解説します。

サプライチェーンとは何か

サプライチェーンとは、製品やサービスが消費者に届くまでの一連の流れやプロセスを指す言葉です。これには、原材料の調達から製造、流通、販売に至るまでのすべての段階が含まれます。

例えば、コンビニチェーンでは生産者や農協などからお米を仕入れ食品工場でオーダー通りのおにぎりを製造します。オーダー通りのおにぎりが完成後、出荷されコンビニエンスストアの店舗に並び、最終的に消費者に届けられます。このように、おにぎりが私たちの手元に届けられるまでには、サプライチェーンを構成する様々なプレーヤーの活動があり、それらが連なって成り立っています。

サプライチェーンの重要性

サプライチェーンは現代のビジネスにおいて不可欠であり、「サプライチェーンがなければ産業は成り立たない」と言えます。一連の流れを効率的に管理することで、生産性が向上し、事業全体の効率化も実現可能です。しかし、各プロセスには多くの企業や組織が関与し、互いに密接に連携しているため、一か所にほころびが生じると、それがサプライチェーン全体に影響を及ぼす可能性があります。そのため、サプライチェーンはサイバー攻撃などの脅威にさらされており、サプライチェーン全体のセキュリティを確保することは、企業のみならず、社会全体の経済発展にとっても不可欠な要素です。

サプライチェーンが抱える課題

前段で説明したとおり、サプライチェーンは多くの企業や組織が関与し、互いに密接に連携している性質上、複数の固有の課題に直面しています。この課題は製品の開発から配送までの各段階で発生し、サプライチェーンの効率性とセキュリティに直接影響を与えます。

サプライチェーンの規模と煩雑さ

サプライチェーンの各フェーズ（工程）では、異なる企業や組織が連携して活動しており、それぞれが一連の流れの一部を担っています。多岐にわたる組織が絡むことで、全ての組織を完全に把握することは非常に困難です。また、それぞれの組織に対する効果的な監査を実施することもまた、容易ではありません。

コンプライアンスと規制

IT製品は、多様な規制とコンプライアンス要件に準拠する必要があります。製品が他国で製造され、世界中で販売されるなど、グローバル化していることがサプライチェーンをさらに複雑にしています。国や地域によって法規制や業界の基準が異なるため、一貫した品質管理や倫理基準の維持が求められる中、その実現はさらに難しい課題となっています。

これらの課題に対処することは、サプライチェーンの管理において不可欠です。リスク管理などを実施し、適切なセキュリティ対策を実施することが求められます。

ITサプライチェーンとは？

ITサプライチェーンは、ITシステム・サービスの開発・提供を委託する組織（委託元）からITシステム・サービスに関する業務を受託する組織（委託先）の関係性を指し、IT関連の製品やサービスが最終的なユーザに届くまでの一連のプロセスを指します。各プロセスは、ソフトウェア開発者、ハードウェア製造者、配送業者、最終的にこれらの製品を使用するエンドユーザなど、多種多様なアクターで構成されています。重要なのは、これらの要素がどのように連携し、製品やサービスがスムーズに流れるかです。セキュリティの確保、品質管理、コスト削減、納期の厳守など、管理すべき要素は多岐にわたります。

プロセスの定義と役割

出典：IPA「ニューノーマルにおけるテレワークと IT サプライチェーンのセキュリティ実態調査」調査報告書
図 1-5：ITサプライチェーンのイメージ
https://www.ipa.go.jp/security/reports/economics/scrm/ug65p90000019d9g-att/000089968.pdf

・委託元（ユーザ）
　ビジネスニーズに合致する品質と効率性を確保するために、適切な委託先を選定し、管理する
・委託先（ベンダ）
　委託元（ユーザ）から委託された業務を遂行する
・再委託先（2次請け先以降）
　委託先からさらに再委託された業務を遂行する

この相互依存の関係は、製品やサービスが市場の要求に応じて迅速に提供されることを可能にし、同時に、セキュリティや品質の維持にも寄与します。このように、ITサプライチェーンは、技術的な挑戦とビジネスの要求の間でバランスをとるための重要なメカニズムとなります。

サイバーセキュリティとサプライチェーン

サプライチェーンを通じて流れる情報や製品は、サイバー攻撃者にとって魅力的なターゲットです。サプライチェーンの場合、一つの企業で生じた問題がサプライチェーンで関連する企業全体に影響が及びやすいというリスクを抱えています。例えば、委託先企業の一つで最初に火がついた問題は、そこに関連する企業および再委託先企業全体に被害が及び、あっという間にサプライチェーンに関連する企業全体が火だるまとなり得るわけです。そのため、サイバーセキュリティはサプライチェーンにおいて重要な要素の一つです。

このようなサプライチェーンの問題を悪用したサイバー攻撃が「サプライチェーン攻撃」です。サプライチェーン攻撃とは、ターゲット企業に直接攻撃を仕掛けるのではなく、その企業のサプライチェーン（業務委託先やグループ会社・関連企業など）に含まれるセキュリティの弱点を利用して侵入を試みるサイバー攻撃のことです。攻撃者は企業間の信頼関係を利用し、よりセキュリティが手薄な一部のパートナー企業やサプライヤーを狙い、そこを踏み台にして間接的に本来のターゲット企業へ侵入を試みます。

サプライチェーン攻撃の脅威

サプライチェーンを通じて流れる機密情報、知的財産、顧客データなどは攻撃者にとっても魅了的なターゲットです。そのため、サプライチェーン全体が常にサイバー攻撃の脅威にさらされています。

サプライチェーン攻撃を受けてしまうと、被害は発端となった一つの企業だけでなく、そのパートナーや顧客にまで及びます。サイバー攻撃は増え続けており、手口も巧妙化しています。さらに国内主体で政治的・軍事的な目的などで情報窃取や重要インフラの破壊活動などを進めている例もあるため、脅威はますます深刻化しています。

参考資料：公安調査庁「サイバー空間における脅威の概況2023」

さらにテレワーク環境の業務実施もサプライチェーンのリスクにつながります。IPA「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」によれば、委託元および委託先企業の約半数以上がテレワークに関する社内規定・規則・手順の遵守確認を実施していないと回答したことが明らかになりました。

たとえ委託元のシステム開発会社がクラウド利用やテレワーク環境におけるセキュリティポリシーを整備していたとしても、委託先やその他の関連企業の遵守確認が十分でないと、ITサプライチェーン全体のリスクにつながる恐れがあるのです。

2020年の新型コロナウイルス感染症拡大は、国内外のサプライチェーンにも深刻な障害をもたらしました。内閣府「日本経済2021－2022」の一節にある「サプライチェーンの強靱化に向けた課題」によれば、特に、半導体不足や交通機械産業の部品調達に影響が出たといいます。また、グローバル・バリュー・チェーン（GVC）への参加により中間財の国際的な依存が高まり、輸入先の集中や国際的な納期の長期化が進んでいます。これにより、多くの企業が生産調整を余儀なくされており、サプライチェーンのセキュリティ強化が急務とされています。

サプライチェーンは、生産性の向上や効率化を実現する一方で、サイバーセキュリティの脅威が増大していることなどが大きな問題となっています。サプライチェーン全体でセキュリティを確保することが、優先課題となっています。

まとめ

サプライチェーンは製品やサービスが消費者に届くまでの一連の流れがあるため、効率的な管理は、生産性の向上やコスト削減、事業のスムーズな運営をする上で不可欠です。しかし、多数の企業や組織が連携し、機能している反面、煩雑化しているといった状況です。そのため、リスク状況の把握をするには困難になっています。また、これにはIT製品やサービスなどでは、規制やコンプライアンス要件への遵守が求められるため、グローバル化する中でのサプライチェーン管理はより一層困難になります。

ITサプライチェーンは、IT製品やサービスがユーザに提供されるまでの一連のプロセスがあり、品質管理やセキュリティ、コストの管理など多岐にわたる要素が含まれるため、煩雑化しています。

サプライチェーンの脅威の一つであるサイバー攻撃ではセキュリティ対策が手薄な企業を標的とし、攻撃を仕掛けます。そのため、サプライチェーン全体でセキュリティ対策に取り組む必要があります。

2020年の新型コロナウイルス感染症の流行は、サプライチェーンにも大きな影響を与えました。特に、半導体不足や交通機械産業の部品調達に影響が出たことで、多くの企業が生産調整を余儀なくされました。これにより、サプライチェーンの強化がさらに急務となり、セキュリティの強化やリスクの最小化が課題となっています。

サプライチェーンは、現代ビジネスにおいて不可欠です。サプライチェーンを効率的に運用するためには、適切なリスク管理、セキュリティ対策の実施、法規制の遵守などが重要です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年4月12日2025年5月12日

前倒しで対処　-セキュリティを考慮したソフトウェア開発アプローチ「シフトレフト」とは-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

シフトレフトとは、より早期の段階でセキュリティに関する問題に対処する、ソフトウェアの開発や運用の考え方です。ソフトウェアの開発工程の各フェーズにおいてセキュリティが組み込まれていないと、後工程での手戻りが発生し、修正コストもかかってしまいます。本記事では、シフトレフトによるメリットや開発におけるセキュリティ対策の実施例について解説いたします。

シフトレフト（Shift Left）とは

セキュリティにおける「シフトレフト（Shift Left）」とは、より早期の段階でセキュリティに関する問題に対処する、ソフトウェアの開発や運用の考え方です。元々この概念は仕様を満たしているか等の検証に対するソフトウェアテストのジャンルで使われていた言葉ですが、近年セキュリティの世界で注目されています。

ソフトウェア開発の主要工程である「設計」→「開発」→「検証」→「運用」の各プロセスは、計画書や図などで、通常左から右に向けて記載されます。図の左側（レフト）、すなわち時間軸の早い段階で脆弱性を作り込まない対策を施した開発を行えば、セキュリティリスクを低減させるだけでなく、品質向上、期間短縮、トータルコスト低減などの効果があります。

セキュアなWebアプリケーション開発を推進する国際NPO「OWASP（Open Web Application Security Project）」もシフトレフトを推奨しており、Googleをはじめとする先進IT企業ではこの考え方を採用したシステム開発を行っています。

シフトレフトの考え方

シフトレフトの考え方では開発工程からセキュリティ診断を組み込むことで、スケジュールに与える影響を最小限に、また計画的かつ定期的に実施頂くことで費用面、人材面のコストを抑えつつセキュリティの堅牢性向上を見込むことができます。

「要件定義」や「設計」等の上流工程の段階からシステム運用までの各フェーズで、セキュリティへの配慮を取り入れることが、より安全なシステムを構築するうえで重要となります。

セキュリティを開発の最終段階で対応したのではすでに遅く、開発プロセスの全フェーズにおいて常にセキュリティ上の課題を先取りして解決しながら進めることが、テストやリリースといった最終段階での手戻りを防ぎ、結果的にトータルコストの削減と品質の向上に寄与します。

「シフトレフト」と「セキュリティ・バイ・デザイン」「DevOps」「DevSecOps」との違い・関係

シフトレフトと関連する言葉に、「セキュリティ･バイ･デザイン」「DevOps（デブオプス）」「DevSecOps（デブセックオプス）」などがあります。

「セキュリティ・バイ・デザイン（SBD：Security by Design）」とは、開発の企画･設計段階からセキュリティを考慮することです。

「DevOps（デブオプス）」は、ソフトウェア開発チーム（Developer）と運用チーム（Operations）が互いに協力し合い、ソフトウェアとサービスのクオリティを向上させます。「DevSecOps（デブセックオプス）」は、開発チームと運用チームに、セキュリティチーム（Security）が加わり、セキュリティを含めトータルコストを低減しつつ、さらなるクオリティ向上を実現する仕組みです。

セキュリティ・バイ・デザインは概念、DevSecOpsは体制運用、そしてシフトレフトは工程管理の考え方ですが、いずれも、事故やトラブルが起こってから、あるいは脆弱性が見つかってから、といった事後対応のセキュリティ対策ではなく、事前対応、すなわち前倒しで実践する点で一致しています。

シフトレフトによって向上する品質

たとえば、ビルを建てた後になってから、建物の基礎部分に問題が見つかったら改修は容易ではありません。また、社会的な信頼も大きく損なうことでしょう。ソフトウェアも同じで、問題発見が早いほど、改修に必要な労力、費用、時間は少なくてすみますし、信用失墜の危険性も軽減できます。

リリース直前の脆弱性診断でWebアプリケーションに脆弱性が発見されたら、手戻り分のコストがかかるだけではなく、リリース日の遅れや、機会損失の発生を招き、ステークホルダーのビジネスにまで影響を及ぼしかねません。シフトレフトの考え方でセキュリティに配慮しながら開発を進めれば、こうしたリスクを低減でき、ソフトウェアの信頼度が高まります。

シフトレフトによるトータルコスト低減メリット

セキュリティに配慮せず開発を行えば、短期的にはコストを抑え、開発期間を短くすることができるでしょう。しかし、リリース後の運用過程で、もしサイバー攻撃による情報漏えいや知的財産の窃取などが起こったら、発生した損失や対応費用など、長期的に見たコストはより大きくなるでしょう。

こうしたトータルコストの低減効果こそ、シフトレフトによるセキュアな開発および運用の真骨頂です。

シフトレフトとは、発生しうるトラブルに事前に備えるということです。病気にならないように運動をしたり、食生活に気をつけたりといった、ごくごくあたりまえのことです。

つまり、これまでのソフトウェア開発は、その当たり前をやっていなかったとも言えます。シフトレフト、セキュリティ・バイ・デザイン、 DevSecOpsという言葉がいろいろな場面で見られるようになったことは、開発現場が成熟してきた現れでもあります。今後、こういった開発プロセスが新常識となっていくことでしょう。

シフトレフトを普及させた裁判の判決とは

ここで、セキュリティ視点でのシフトレフトの考え方を日本に普及させるきっかけのひとつになったとされる、2014年の、ある裁判の判決をご紹介します。

とある企業の開発依頼で納品されたオンラインショッピングのシステムに、SQLインジェクションの脆弱性があったことで、不正アクセスによる情報漏えい事故が発生しました。依頼した企業は、開発会社がセキュリティ対策を怠っていたことを債務不履行として提訴、東京地方裁判所がそれを認め、開発会社に約2200万円の損害賠償支払いを命じました（平成23年（ワ）第32060号）。ただし、全面的に開発会社の落ち度としたわけではなく、発注会社側が責務を果たしていない点については、相当程度の過失相殺を認めています。

この判決は、これまで技術者がいくらセキュリティの必要性を説いても首を縦に振らなかった、セキュリティよりも利益を重視していた「開発会社の経営管理層」と、セキュリティよりもコストと納期を重視していた「発注者」の考えを変えるインパクトを持っていました。

将来事故が起こらないよう、トータルコストを抑えセキュリティに配慮した開発を行う有効な方法としてシフトレフトが採用されたのは、ごく自然なことといえるでしょう。

シフトレフトに基づく開発におけるセキュリティ対策の実施例

シフトレフトに基づく開発におけるセキュリティ対策の実施例は以下のとおりです。

●セキュリティ・バイ・デザイン
まず、セキュリティ・バイ・デザインの考え方に基づいて、企画･設計段階からセキュリティを考慮しましょう。

●セキュアな開発環境
開発は、脆弱性を作り込まないようにするフレームワークやライブラリなど、セキュアな開発環境を活用して行います。

●ソースコード診断
開発の各段階で、プログラムコードに問題がないかを適宜検証するソースコード診断を実施します。

●脆弱性診断
もし、どんなセキュリティ要件を入れたらいいかわからなくても、独立行政法人情報処理推進機構（IPA）などの専門機関がいくつもガイドラインを刊行しています。「このガイドラインを満たすような開発を」と依頼して、それを契約書に記載しておけばいいでしょう。ガイドラインの中身を完全に理解している必要はありません。

リリース前や、リリース後の新機能追加等の際には、必ず事前に脆弱性診断を行います。また、脆弱性が悪用された場合、どんなインシデントが発生しうるのかを、さらに深く検証するペネトレーションテストの実施も有効です。

シフトレフト視点での発注の仕方

シフトレフトは主に開発者側の考え方です。では、ソフトウェア開発を依頼する発注者はどうすればいいのでしょうか。

まず、発注の際には必ずセキュリティ要件を入れましょう。納品されたシステムやWebアプリケーションにセキュリティの問題が発見された際に対応を要求しやすくなります。

もしそれによって見積額が上がったら、トータルコストのこと、シフトレフトというこれからの新常識のことを思い出していただきたいと思います。

・安全なウェブサイトの作り方（IPA）
https://www.ipa.go.jp/security/vuln/websecurity.html

シフトレフトの実現に向けて

とはいえ、今回ご紹介したシフトレフトの考え方が社会に広く普及するまでには、もう少し時間がかかりそうです。

システムライフサイクルの早い工程（シフトレフト）でのセキュリティ対策の実施例の一つに、「ソースコード診断」があります。

実装工程でソースコードに作り込んでしまった脆弱性を検出するのが、「ソースコード診断」です。ソースコード診断では、他の種類の脆弱性診断では検出しづらい潜在的な脆弱性を、
開発ライフサイクルのより早い工程で洗い出すことが可能です。他の脆弱性診断に先駆けて実施されるべき診断と言えます。

セキュアコーディングを実践しつつ、ソースコード診断を効率的に行うためには、自動診断ツールを利用するのも有効です。静的コード解析を行うソースコード診断ツールの選定においては、以下のような点がポイントとなるでしょう。

SQAT.jp を運営する株式会社ブロードバンドセキュリティが、リリース直前のWebサービスに脆弱性診断を行うと、山のように脆弱性が発見されることがあります。

その脆弱性の中には、2014年の裁判で開発会社の債務不履行とされたSQLインジェクションのような、極めて重大なものが含まれていることも多くあります。

業界が成熟し、シフトレフトによるセキュリティ対策が実践されていけば、脆弱性診断というサービスの位置づけ自体が将来変わることすらあるかもしれません。たとえば自動車のような、安全規格に基づいて設計製造された製品における出荷前の品質チェック、あるいは監査法人による会計監査のように、「きちんと行われている前提」で実施する広義のクオリティコントロール活動の一環になるかもしれません。

SQAT.jp は、そんな未来の到来を少しでも早く実現するために、こうして情報発信を行い続けます。

まとめ

・シフトレフトとは上流工程でセキュリティを組み込み、トータルコストを抑えるという考え方
・セキュリティを考慮せずにWebサービスを開発し提供するのは、たとえるなら建築基準法を考慮せずにビルを建ててテナントを入居させるようなもの
・セキュリティをコストととらえ費用を惜しむと、将来的により高い出費を余儀なくされる可能性がある
・シフトレフトによるセキュリティ対策には、セキュリティ・バイ・デザイン、セキュリティ要件の明示、セキュアな開発環境、早期段階から適宜に実施する各種セキュリティ診断等がある

Security NEWS TOPに戻る
バックナンバー TOPに戻る