サプライチェーンとは
-サプライチェーン攻撃の脅威と対策1-

Share

「サプライチェーン」とは、製品やサービスが消費者の手に渡るまでの一連の流れを指します。この流れの中では多くの企業や組織が関与し、互いに密接に連携しています。情報技術製品が対象となるものもあるため、セキュリティの確保が特に重要視されます。この記事では、サプライチェーンの基本的な概念と、サプライチェーンの重要性、そしてサイバーセキュリティとの関連性について解説します。

サプライチェーンとは何か

サプライチェーンとは、製品やサービスが消費者に届くまでの一連の流れやプロセスを指す言葉です。これには、原材料の調達から製造、流通、販売に至るまでのすべての段階が含まれます。

例えば、コンビニチェーンでは生産者や農協などからお米を仕入れ食品工場でオーダー通りのおにぎりを製造します。オーダー通りのおにぎりが完成後、出荷されコンビニエンスストアの店舗に並び、最終的に消費者に届けられます。このように、おにぎりが私たちの手元に届けられるまでには、サプライチェーンを構成する様々なプレーヤーの活動があり、それらが連なって成り立っています。

サプライチェーンの重要性

サプライチェーンは現代のビジネスにおいて不可欠であり、「サプライチェーンがなければ産業は成り立たない」と言えます。一連の流れを効率的に管理することで、生産性が向上し、事業全体の効率化も実現可能です。しかし、各プロセスには多くの企業や組織が関与し、互いに密接に連携しているため、一か所にほころびが生じると、それがサプライチェーン全体に影響を及ぼす可能性があります。そのため、サプライチェーンはサイバー攻撃などの脅威にさらされており、サプライチェーン全体のセキュリティを確保することは、企業のみならず、社会全体の経済発展にとっても不可欠な要素です。

サプライチェーンが抱える課題

前段で説明したとおり、サプライチェーンは多くの企業や組織が関与し、互いに密接に連携している性質上、複数の固有の課題に直面しています。この課題は製品の開発から配送までの各段階で発生し、サプライチェーンの効率性とセキュリティに直接影響を与えます。

サプライチェーンの規模と煩雑さ

サプライチェーンの各フェーズ(工程)では、異なる企業や組織が連携して活動しており、それぞれが一連の流れの一部を担っています。多岐にわたる組織が絡むことで、全ての組織を完全に把握することは非常に困難です。また、それぞれの組織に対する効果的な監査を実施することもまた、容易ではありません。

コンプライアンスと規制

IT製品は、多様な規制とコンプライアンス要件に準拠する必要があります。製品が他国で製造され、世界中で販売されるなど、グローバル化していることがサプライチェーンをさらに複雑にしています。国や地域によって法規制や業界の基準が異なるため、一貫した品質管理や倫理基準の維持が求められる中、その実現はさらに難しい課題となっています。

これらの課題に対処することは、サプライチェーンの管理において不可欠です。リスク管理などを実施し、適切なセキュリティ対策を実施することが求められます。

ITサプライチェーンとは?

ITサプライチェーンは、ITシステム・サービスの開発・提供を委託する組織(委託元)からITシステム・サービスに関する業務を受託する組織(委託先)の関係性を指し、IT関連の製品やサービスが最終的なユーザに届くまでの一連のプロセスを指します。各プロセスは、ソフトウェア開発者、ハードウェア製造者、配送業者、最終的にこれらの製品を使用するエンドユーザなど、多種多様なアクターで構成されています。重要なのは、これらの要素がどのように連携し、製品やサービスがスムーズに流れるかです。セキュリティの確保、品質管理、コスト削減、納期の厳守など、管理すべき要素は多岐にわたります。

プロセスの定義と役割

・委託元(ユーザ)
 ビジネスニーズに合致する品質と効率性を確保するために、適切な委託先を選定し、管理する
・委託先(ベンダ)
 委託元(ユーザ)から委託された業務を遂行する
・再委託先(2次請け先以降)
 委託先からさらに再委託された業務を遂行する

この相互依存の関係は、製品やサービスが市場の要求に応じて迅速に提供されることを可能にし、同時に、セキュリティや品質の維持にも寄与します。このように、ITサプライチェーンは、技術的な挑戦とビジネスの要求の間でバランスをとるための重要なメカニズムとなります。

サイバーセキュリティとサプライチェーン

サプライチェーンを通じて流れる情報や製品は、サイバー攻撃者にとって魅力的なターゲットです。サプライチェーンの場合、一つの企業で生じた問題がサプライチェーンで関連する企業全体に影響が及びやすいというリスクを抱えています。例えば、委託先企業の一つで最初に火がついた問題は、そこに関連する企業および再委託先企業全体に被害が及び、あっという間にサプライチェーンに関連する企業全体が火だるまとなり得るわけです。そのため、サイバーセキュリティはサプライチェーンにおいて重要な要素の一つです。

このようなサプライチェーンの問題を悪用したサイバー攻撃が「サプライチェーン攻撃」です。サプライチェーン攻撃とは、ターゲット企業に直接攻撃を仕掛けるのではなく、その企業のサプライチェーン(業務委託先やグループ会社・関連企業など)に含まれるセキュリティの弱点を利用して侵入を試みるサイバー攻撃のことです。攻撃者は企業間の信頼関係を利用し、よりセキュリティが手薄な一部のパートナー企業やサプライヤーを狙い、そこを踏み台にして間接的に本来のターゲット企業へ侵入を試みます。

サプライチェーン攻撃の脅威

サプライチェーンを通じて流れる機密情報、知的財産、顧客データなどは攻撃者にとっても魅了的なターゲットです。そのため、サプライチェーン全体が常にサイバー攻撃の脅威にさらされています。

サプライチェーン攻撃を受けてしまうと、被害は発端となった一つの企業だけでなく、そのパートナーや顧客にまで及びます。サイバー攻撃は増え続けており、手口も巧妙化しています。さらに国内主体で政治的・軍事的な目的などで情報窃取や重要インフラの破壊活動などを進めている例もあるため、脅威はますます深刻化しています。

参考資料:公安調査庁「サイバー空間における脅威の概況2023

さらにテレワーク環境の業務実施もサプライチェーンのリスクにつながります。IPA「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」によれば、委託元および委託先企業の約半数以上がテレワークに関する社内規定・規則・手順の遵守確認を実施していないと回答したことが明らかになりました。

たとえ委託元のシステム開発会社がクラウド利用やテレワーク環境におけるセキュリティポリシーを整備していたとしても、委託先やその他の関連企業の遵守確認が十分でないと、ITサプライチェーン全体のリスクにつながる恐れがあるのです。

2020年の新型コロナウイルス感染症拡大は、国内外のサプライチェーンにも深刻な障害をもたらしました。内閣府「日本経済2021-2022」の一節にある「サプライチェーンの強靱化に向けた課題」によれば、特に、半導体不足や交通機械産業の部品調達に影響が出たといいます。また、グローバル・バリュー・チェーン(GVC)への参加により中間財の国際的な依存が高まり、輸入先の集中や国際的な納期の長期化が進んでいます。これにより、多くの企業が生産調整を余儀なくされており、サプライチェーンのセキュリティ強化が急務とされています。

サプライチェーンは、生産性の向上や効率化を実現する一方で、サイバーセキュリティの脅威が増大していることなどが大きな問題となっています。サプライチェーン全体でセキュリティを確保することが、優先課題となっています。

まとめ

サプライチェーンは製品やサービスが消費者に届くまでの一連の流れがあるため、効率的な管理は、生産性の向上やコスト削減、事業のスムーズな運営をする上で不可欠です。しかし、多数の企業や組織が連携し、機能している反面、煩雑化しているといった状況です。そのため、リスク状況の把握をするには困難になっています。また、これにはIT製品やサービスなどでは、規制やコンプライアンス要件への遵守が求められるため、グローバル化する中でのサプライチェーン管理はより一層困難になります。

ITサプライチェーンは、IT製品やサービスがユーザに提供されるまでの一連のプロセスがあり、品質管理やセキュリティ、コストの管理など多岐にわたる要素が含まれるため、煩雑化しています。

サプライチェーンの脅威の一つであるサイバー攻撃ではセキュリティ対策が手薄な企業を標的とし、攻撃を仕掛けます。そのため、サプライチェーン全体でセキュリティ対策に取り組む必要があります。

2020年の新型コロナウイルス感染症の流行は、サプライチェーンにも大きな影響を与えました。特に、半導体不足や交通機械産業の部品調達に影響が出たことで、多くの企業が生産調整を余儀なくされました。これにより、サプライチェーンの強化がさらに急務となり、セキュリティの強化やリスクの最小化が課題となっています。

サプライチェーンは、現代ビジネスにおいて不可欠です。サプライチェーンを効率的に運用するためには、適切なリスク管理、セキュリティ対策の実施、法規制の遵守などが重要です。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

ASM(Attack Surface Management)と脆弱性診断
― セキュリティ対策への活用法 ―

Share

今、インターネット上に公開されるIT資産がサイバー攻撃者に狙われ、被害が拡大しています。サイバー攻撃者は事前に偵察行為をし、攻撃の的を探し、特定します。特に、脆弱性が存在しているWebシステムやネットワーク機器などは攻撃者にとっても悪用しやすく、侵入するための入口となってしまいます。では、自組織が狙われないようにするために、私たちはどのような対策をとればよいのでしょうか?本記事では、ASM(Attack Surface Management)と脆弱性診断を併用した、それぞれの実施の活用方法について解説いたします。

アタックサーフェス(攻撃対象領域)とは

サイバー攻撃に対する防御について語られる際に出てくる言葉の1つに、「アタックサーフェス」があります。

アタックサーフェスは、直訳すると”攻撃面”となりますが、サイバーセキュリティの文脈では、「攻撃対象領域」といった意味合いで使用され、サイバー攻撃の対象となり得る様々なIT資産、攻撃のポイントや経路等を指します。

組織が事業活動を行う上で使用するIT資産には、ハードウェアもソフトウェアも含まれます。IT資産にサイバー攻撃の足掛かりとなる攻撃ポイント・経路が存在すると、サイバー攻撃者は容赦なくそこを狙ってきます。

【アサックサーフェスの例】

攻撃事例とアタックサーフェス

実際のサイバー攻撃やインシデントの事例とそのアタックサーフェスを確認してみましょう。

事 例アタックサーフェス
2020年国内上場企業のドメイン名を含むサブドメインテイクオーバー(使用が終了したドメイン名の乗っ取り)の被害事例が2020年7月までに100件以上発生*1ドメイン管理の不備
2023年2022年5月以降、特定のセキュア・アクセス・ゲートウェイ製品の脆弱性を狙ったものと見られる標的型サイバー攻撃が断続的に発生*2ネットワーク機器の
既知の脆弱性
2023年国内自動車メーカーの関連会社で保有する顧客約215万人分の車両等の情報が10年近く公開状態になっていたことが判明*3クラウド設定の不備

拡大するアタックサーフェス

クラウド利用、DXの推進、テレワークの一般化……ITインフラ環境の柔軟性は高まる一方です。これに伴い、Webシステムやネットワーク機器といった外部との境界にあるアタックサーフェスは、拡大し続けています。つまり、外部にいるサイバー攻撃者が組織のシステムを侵害するチャンスが広がっていると考えられます。

サイバー攻撃者によるアタックサーフェスへのアプローチ

サイバー攻撃者が攻撃のため、最初に行う活動の典型が、「偵察」です。攻撃に利用可能な様々な情報を探索し、どの組織を標的とするか、どのような攻撃手法をとるか、といったことを定めるのに役立てます。

偵察活動で駆使される技術として、合法的に入手可能な公開情報を収集して調査・分析する手法—OSINT(「オシント」Open Source Intelligence:オープンソースインテリジェンス)が注目されています。

サイバー空間における脆弱性探索行為

前述のサイバー攻撃者による偵察活動が行われていることの裏付けとして、日本の各機関からも以下のような観測が定期的に報告されています。

【観測報告の例】

発表元観測内容
国⽴研究開発法⼈
情報通信研究機構(NICT)
2022年1~12月調査⽬的と判定されるスキャンの数は12,752のIPアドレスから約2,871億パケットあり、これにサイバー攻撃のための偵察活動が含まれていると考えられる*4
JPCERT/CC2022年10月~2023年6月IoT機器を主な標的とするマルウェアMirai型パケットについて、海外および日本からの探索活動が継続して報告されている。探索元IPアドレスの一部について、動作している機種の特定に成功したことも*5
 2023年4~6月Laravel(Webアプリケーションフレームワーク)の設定情報窃取を試みる通信を確認*6
警察庁2023年1~6月脆弱性のあるIoT機器の探索を目的としたものと見られるアクセスの増加を確認
 2023年1~6月脆弱性のあるVPN機器の探索を目的としたものと見られるアクセスを断続的に確認

ASM(アタックサーフェスマネジメント)で自組織を守る

サイバー攻撃者の偵察行為で、自組織が攻撃対象として選定されないようにするにはどうすればよいでしょうか。

サイバー攻撃から⾃組織を守るために、インターネット上で意図せず公開してしまっているアタックサーフェスとなり得るIT資産を特定し、セキュリティ対策に活用する手法が、「ASM(Attack Surface Management:アタックサーフェスマネジメント)」です。

ASM導入ガイダンス

経済産業省は、ASMを「組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス」と定義しており、2023年5月29日に「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を発行しています。

企業のセキュリティ担当者や情報セキュリティを管掌する経営層(CIO、CISO等)に向けて、企業・組織に対してサイバー攻撃の起点となり得るIT資産を適切な方法で管理できるよう促すため、ASMの解説、ASMを実施するためのツールや必要なスキル、体制、留意点等がまとめられています。また、国内企業のASM取り組み事例も掲載されています。

ASMにより得られる効果

ASMにより以下のようなことが確認できます。

ASMのプロセス

ASMで具体的にどのようなことを実施するかというと、前述の経済産業省によるガイダンスでは、次のようなプロセスが紹介されています。「攻撃面」とは、「アタックサーフェス」のことです。

プロセス(1) 攻撃面の発見:

インターネットからアクセス可能なIT資産として、IPアドレスやホスト名を発見。

・組織名(法人名等)より、オフィシャルWebサイトや検索プロトコルであるWHOISを利用して当該組織のドメイン名を特定・ドメイン名を特定したら、DNS検索や専用ツールの使用によりIPアドレス・ホスト名の一覧を取得

プロセス(2) 攻撃面の情報収集:

前プロセスの結果より通常のインターネットアクセスで取得可能な方法でOS、ソフトウェア、ソフトウェアのバージョン、開放されているポート番号といったIT資産の情報を収集。

プロセス(3) 攻撃面のリスク評価

前プロセスで収集した情報を既知の脆弱性情報と突合せするなどして、脆弱性が存在する可能性を識別。

ASMのプロセスとしてはここまでですが、セキュリティ対策としては、ASMを実施して自組織のセキュリティリスクを把握した後の工程として、リスクの深刻度に応じた対応要否や優先度、具体的な対応内容等を決め、セキュリティリスクの低減に努める必要があります。

ASMと脆弱性診断の違い

さて、「IT資産の脆弱性検出やリスク評価を行う」となると、脆弱性診断と重なるイメージがあるのではないでしょうか。

ASMと脆弱性診断の関係性を表す、次のような図があります。脆弱性管理において、それぞれに役割があることが伺えます。

ASMと脆弱性診断の違い画像
出典:経済産業省「 ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」(令和5年5⽉29⽇)P.11 図 2-2 ASM と脆弱性診断の違い

両者の違いをまとめると以下のようになります。いずれもセキュリティ対策における取り組みですが、非常にざっくりと、ASMは“管理対象でないものも含めて広く浅く”、脆弱性診断は“特定した対象に対して深く詳細に”という印象で捉えられるのではないでしょうか。

ASMと脆弱性診断の併用・使い分けを

脆弱性管理において、ASMと脆弱性診断のどちらかを行っていればOK、ということではありません。脆弱性診断では、自組織が特定したシステムや機器に対して脆弱性を洗い出しますが、脆弱性診断の対象となるということは、組織自身が当該IT資産を管理下にあるものと認識していることになります。一方、ASMでは、そもそも管理外であるにもかかわらず当該組織のIT資産としてインターネット上に公開されてしまっているもの、つまり気づかぬまま管理から漏れてしまっているものを発見することができます。

そのため、両者の特長を理解した上でその目的に応じて、例えば、ASMによって脆弱性が存在する可能性があると発見したら、対象となる機器やシステムに対して脆弱性診断を実施して脆弱性の特定を行う、といった両者の併用・使い分けが推奨されます。

ASM・脆弱性診断ともに有効な実施方法の検討を

ASMも脆弱性診断も、ただ実施すればよいというものではなく、効果的に、かつ継続して行うことが重要です。そのためにはノウハウやスキルが必要となります。

ASMや脆弱性診断を自組織で実施しようとなると、以下のような注意点が挙げられます。

例えば、自組織ではASMや脆弱性診断をどう活用したいか検討することの方に労力を割き、ASMや脆弱性診断の実施や結果の分析については、その活用目的に合致した対応が望める外部のセキュリティサービスを探して依頼するなど、定期的に見直しをすることが重要です。

日々進化していくITインフラ環境において便利になる反面、攻撃者にもそのチャンスが広がっています。攻撃者から自組織を守るためにも、ASMと脆弱性診断の実施を組み合わせることは有効な選択肢の1つといえるでしょう。

BBSecでは

BBSecでは以下のようなご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。

アタックサーフェス調査サービス

インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。

詳細・お見積りについてのご相談は、お問い合わせフォームからお気軽にお問い合わせください。お問い合わせはこちら。後ほど、担当者よりご連絡いたします。

SQAT脆弱性診断サービス

システムに存在する脆弱性は、時として深刻な被害につながる看過できない脅威で、事業継続性に影響を与えかねません。BBSecの脆弱性診断は、精度の高い手動診断と独自開発による自動診断を組み合わせ、悪意ある攻撃を受ける前にリスクを発見し、防御するための問題を特定します。

ウェビナー開催のお知らせ

最新情報はこちら

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像