クラウドサービス | SQAT®.jp

サプライチェーン攻撃とは ―委託先・外注先リスクから情報漏えいを防ぐ全体像―アイキャッチ画像

近年、企業の情報漏えい事故の原因として増えているのが、委託先や取引先、外部サービスを経由したサプライチェーン攻撃です。自社のシステムが直接攻撃されていなくても、外部との連携を足がかりに被害が発生するケースは珍しくありません。本記事では、サプライチェーン攻撃とは何かという基本的な考え方から、なぜ企業規模を問わずリスクが高まっているのか、全体像を整理します。まず全体を理解することで、断片的な対策に終わらない判断の土台をつくります。

サプライチェーン攻撃がどのように起きているのか、攻撃の特徴や背景を知りたい方は、次の記事もあわせてご覧ください。
なぜ取引先経由で情報漏えいが起きるのか ―国内で増えるサプライチェーン攻撃の実態―

情報漏えいは「自社の外」から起きる時代へ

近年、企業の情報漏えい事故を調査すると、必ずしも自社システムが直接攻撃されているわけではないケースが増えています。原因として多く挙げられるのが、委託先や外注先、外部サービスを経由した不正アクセスです。こうした攻撃はサプライチェーン攻撃と呼ばれ、いまや企業規模や業種を問わず直面する可能性のある現実的なリスクになっています。クラウドサービスやSaaSの利用、業務委託の拡大によって、企業のセキュリティ境界は大きく広がりました。その結果、自社だけを守っていれば安全、という考え方は通用しなくなっています。

サプライチェーン攻撃とは何か

サプライチェーン攻撃とは、標的企業そのものではなく、その周囲に存在する取引先や委託先、連携サービスを足がかりに侵入する攻撃手法です。攻撃者は、比較的対策が弱い外部事業者を狙い、正規の権限や接続経路を利用して本来の標的へと近づきます。この攻撃の特徴は、正規の仕組みが悪用される点にあります。そのため、不正侵入として検知されにくく、被害が表面化したときにはすでに多くの情報が流出しているケースも少なくありません。

なぜサプライチェーンリスクの管理は難しいのか

サプライチェーンリスクの管理が難しい最大の理由は、管理対象が自社のコントロール外にある点です。委託先や外注先ごとにセキュリティ対策の成熟度は異なり、すべてを同じ基準で把握することは簡単ではありません。また、契約内容や運用ルールが曖昧なまま業務が進んでいることも多く、インシデントが起きて初めて問題に気づくケースもあります。こうした背景から、「何をどこまで確認すべきか分からない」という声が現場で多く聞かれます。

委託先・外注先のセキュリティはどこまで確認すべきか

サプライチェーンリスクを考えるうえで重要なのは、すべてを完璧に監査しようとしないことです。まずは、委託先がどの情報にアクセスできるのか、どの業務を担っているのかを整理することが出発点になります。扱う情報の重要度が高いほど、確認すべき範囲も広がります。技術的な対策の有無だけでなく、運用体制やインシデント時の対応ルールが整っているかどうかを見ることが、現実的なセキュリティ確認につながります。

委託先が原因で情報漏えいが起きた場合の初動対応

どれだけ対策を講じていても、サプライチェーン攻撃のリスクを完全にゼロにすることはできません。そのため重要なのは起きない前提ではなく、起きたときにどう対応するかを想定しておくことです。委託先が原因で情報漏えいが疑われる場合でも、企業としての説明責任は免れません。初動対応では、原因の切り分けよりも被害拡大の防止と事実整理を優先し、社内外への対応を並行して進める必要があります。

サプライチェーンリスク対策で本当に重要な視点

サプライチェーン攻撃への対策は、単なるセキュリティ技術の問題ではありません。委託先との関係性、契約内容、社内体制、インシデント対応の準備といった、組織全体のリスク管理の問題です。「自社の中は守ることができている」という安心感が、かえってリスクを見えにくくしてしまうこともあります。だからこそ、自社を取り巻く外部環境も含めて全体を把握し、どこにリスクが集中しているのかを整理する視点が欠かせません。

サプライチェーン攻撃は経営リスクでもあります。経営視点で整理した記事はこちら。
「サプライチェーン攻撃と経営責任 ―委託先が原因でも問われる企業の判断とは ―」

まとめ：まず“全体像”を理解することが最大の対策

サプライチェーン攻撃は、今後も増えていくと考えられます。委託先や外注先を活用する限り、すべての企業が無関係ではいられません。重要なのは、断片的な対策に終始するのではなく、サプライチェーン全体を一つのシステムとして捉えることです。全体像を理解したうえで、確認・対応・改善を積み重ねていくことが、結果的に最も効果的なリスク対策になります。

BBSecでは

サプライチェーンリスクは、属人的な判断や部分的な対応では管理しきれなくなっています。委託先の数が増えるほど、リスクの把握と対応は複雑になります。株式会社ブロードバンドセキュリティ（BBSec）では、サプライチェーン全体を視野に入れたセキュリティリスクの整理や、委託先管理、インシデント対応体制の支援を行っています。「どこにリスクがあるのか分からない」という段階からでも、現状に合わせた整理と改善を進めることが可能です。サプライチェーンを含めた情報管理に不安を感じている場合は、まず全体を俯瞰するところから始めてみてはいかがでしょうか。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。

国内外問わずセキュリティイベントに多くご登壇し、弊社で毎月1回開催している社内研修で、最新動向をレクチャーいただいている奈良先端科学技術大学院大学の門林教授。そんな門林教授に2022年のセキュリティニュースを振り返っていただき、今後の動向や予測について語っていただきました。前・後編の2回のうち、後編をお届けします。

（聞き手：BBSec SQAT.jp編集部）

サイバー攻撃の多様性

新たな攻撃の予想

━━今年はこれまでもすでに発見されていたが放置されてきた脆弱性が再発見されたり、新たに発見されたりした脆弱性を悪用したサイバー攻撃が話題になりました。それを踏まえ、今後新たな流行として予想される攻撃や今の時点で考えられる攻撃がありましたらどんなものがありますでしょうか？

門林：色々起きてますが、犯罪教唆にならない範囲で考えますと、クラウドとかでしょうか。クラウドはかなり巨大になってきていますので、問題は起きるかなとは思いますね。やはり色んな方がクラウドを使っていますよね。

━━そうですね。最近はテレワークの導入率も6割程度という調査結果も出ているという風に聞きます。

門林： 結局そのクラウドの方がちゃんとやっているから安全というように事業者の方はよくおっしゃるんですが、中小から大企業までみんながクラウドを使っているということは、当然反社もハッカー集団もクラウドを使っているわけです。だから隣のテナントは反社かもしれないという状況で、企業も何万社とあって、クラウド事業者側でもみえてないです。

見通しが明るくない話ばかりになりますが、クラウドはほんとに色んな問題を抱えて走っています。もちろんその問題を抱えたうえでリスクを潰しながらオペレーションできればいいんですが。これもやはり10年ほどやってきている話で、進展も激しいですし、色々積み重なっています。結局古い問題がなくならないので、我々専門家も日々話題にする脆弱性で、これ10年前にも同じ話あったよねというのがもう頻繁に出てくるわけです。ですのでクラウドに関しても、おそらく5年前とか10年前にあった脆弱性のぶり返しと新しい攻撃キャンペーンが組み合わさるとなんか起こるだろうなと思います。

今できる共通の対策

━━今後もありとあらゆる攻撃が予想されるということがお話伺っていてわかりました。それぞれの攻撃に対しては、対策をとっていく、防御していくことが重要になってくることかと思いますが、今できる共通の対策として、まず何をすべきでしょうか？

門林：基本に忠実にやるということしかないです。新しいトピックだけ追いかける人が多いですが、サイバーセキュリティという領域が生まれてもう30年です。脆弱性データベースの整備も始まって30年くらいたっていると思います。で、そのなかに10年選手、5年選手あるいは15年選手の脆弱性があるわけです。マルウェアもわざわざ古いマルウェアを使うという攻撃もあるんです。古いマルウェアだと最近のアンチウィルスソフトでは検知しないからあえて使うなどという色々な話があって、結局新しいことだけに注目してニュースを追って新しい製品を買ってというようにやっていると、5年前とか10年前の脆弱性に足をすくわれると思うんです。ですのでここはもう基本に忠実にやるしかないわけです。

セキュリティ全般の話ですが、やはり30年分の蓄積があるので、それを検証できるだけのスキルを持っていなければいけないですし、なんなら製品ベンダーさんの方が基本的な話を知らなかったりしますからね。

どんな対策が有効？

━━リスク管理の原則という話も少し出ましたが、企業においては情報資産の棚卸しというところも重要になってくると思います。弊社では脆弱性診断サービスを提供していますが、こういったサイバー攻撃への対策として、脆弱性診断サービスは有効に働くでしょうか？

門林：この業界はぽっと出だと私は危ないと思っています。セキュリティ診断会社が裏で反社と繋がっていて脆弱性診断を結果流していたという話もあり得ない話ではないので、ちゃんとした会社に依頼するということが私は大事だなと思ってます。

BBSecさんはもう22年くらいやっているとのことですが、やっぱりそれくらいやってる会社じゃないとかなり重要なシステムの脆弱性診断とか任せられないんじゃないかなと思いますし、それだけやってらっしゃる会社さんだからこそ、昔の脆弱性や最近の脆弱性、あるいは5年10年前の脆弱性というところも経験があって、ある意味チェック漏れといいますか、抜け漏れみたいなのもないと思うんです。やはり脆弱性診断みたいな、セキュリティの話で”水を漏らさず”みたいなところに尽きると思うんです。水を漏らさずどういう風に検査するかというともう経験値が全てだと思うんです。色々なシステムを検査してきた経験値というのが今にいきていると思いますし、そういうの無しに最近できた会社なんですよといって診断されても、そこの製品、俺だったら簡単に迂回できるなと思ってしまいますね。

終わりに…

これからセキュリティ業界に携わりたい方に向けて

━━ありがとうございました。では最後に、これまでのトピックスを振り返りつつ、これからセキュリティ業界に携わって働いていきたいという方やすでにもう業界で経験がある方でこれからもっとステップアップしていきたいというSQAT.jp読者に対して、門林先生からのメッセージをいただければと思います。

門林：サイバーセキュリティというと、プログラミングとかそういうのに詳しい人だけと思われがちなんですが、そうではないんだということです。もう今は総力戦になってますので、プログラミングやセンサーに詳しい人も歓迎ですし、あるいは人間の心理とか社会学とかのスキルとかそういうのに詳しい人も歓迎ですし。結局人間の脆弱性、ソフトウェア・ハードウェアの脆弱性など色々なものがあるなかで、それらすべてに相対していかなければならないわけです。プログラミングやマルウェア解析がすごいという人だけではなくて、いろんな人に来ていただきたいなと思いますね。

あともう一つ大事なのは、やはり優しさです。パソコンに詳しい、俺はプログラミングがすごいだけではなくて、実際サイバー攻撃にやられてしまった現場に行っても、「大丈夫ですか？」とできる人、例えば、「ランサムウェアの現場大変ですね、何とか復号しましょう」、というように。きれいじゃない現場というのがたくさんあるように、これから人間の失敗の顛末みたいな所も目にすると思います。各社・各業界の事情もありつつ、失敗の形跡もありつつ、そういう所で火消しをする、手続きの話をするというかたちになるので、結局その現場に入る人、セキュリティの業界に入る人はやっぱり弱者の側に立たないといけないんです。

CTFとかそういうものをやってると優秀な人こそ勝つという感じの発想の人もいると思うんですが、私は、そういうゲーム的な「俺はサッカーが上手いからすごいんだ」という人が来てくれるよりは、むしろ消防あるいは看護婦・お医者さんのような弱者・敗者に寄り添うセンス、かつプログラミング・技術もできる、法律もハードウェアもできるといった、そういう人間としてのキャパシティーをもった人に来ていただきたいなと思います。「俺はこのツールが使えるんだすごいだろ」という感じの人はたくさんいる気がするので、そうではない側の人、人としての優しさを備えてかつテクノロジー・法律といった様々なスキルを研鑽していこうと思える人にきてほしいですね。

━━弊社は脆弱性診断診断サービス以外にもインシデント対応やコンサルティングの提供もしているので、そういう意味でも、技術力だけじゃなく、人間性みたいなところも比較的重要になってくるのかなと個人的にも思います。本日はありがとうございました。

ーENDー
前編はこちら

門林雄基氏
奈良先端科学技術大学院大学サイバーレジリエンス構成学研究室教授
国内外でサイバーセキュリティの標準化に取り組む。日欧国際共同研究NECOMAプロジェクトの日本研究代表、WIDEプロジェクトボードメンバーなどを歴任。