サプライチェーン攻撃とは?複数の企業が連鎖する新たなサイバー攻撃

サプライチェーン攻撃とは、複数の企業が情報をやりとりするサプライチェーンの仕組みを悪用し、企業へ攻撃を仕掛ける新たなサイバー攻撃の手法です。

商品が製造されて消費者に届くまでの間、部品や原材料を供給する下請け業者、製品をつくるメーカー、輸送を担う物流サービス、消費者へ販売する販売会社(販社)など、様々な企業からサプライチェーンは構成されます。

企業は、活動を行ううえで、しばしば個人情報や機密情報をやりとりします。

セキュリティ意識の高い企業でも、重要情報を委託した先の企業がサイバー攻撃を許せば、連鎖的に情報漏えい・情報窃取などの被害に遭ってしまいます。

こうしたサプライチェーンの脆弱性につけ込み、セキュリティ対策が甘い企業を足がかりにしてターゲット企業を攻撃するのが、近年増加するサプライチェーン攻撃です。

サプライチェーン攻撃の種類

具体的にサプライチェーン攻撃がどういった狙いで行われているか、その仕組みを解説します。

また、サプライチェーン攻撃の手口も紹介します。

標的型メール攻撃

サプライチェーン攻撃で最も多いのは、取引先企業の個人情報を窃取し、従業員であるかのように見せかけ、マルウェアを含んだメールを送りつける手口です。

この手口を「標的型メール攻撃」または「委託先踏み台型」と呼びます。

ソフトウェアサプライチェーン攻撃

より対策が難しいのが、委託先のソフトウェアにバックドアを仕掛け、納品物を受けとったターゲット(委託元)を攻撃する手口です。

ソフトウェア自体ではなく、ターゲット企業が購入した製品の更新プログラムにマルウェアを組み込み、アップデートを介して侵入する手口も見られます。

この攻撃を「ソフトウェアサプライチェーン攻撃」や「ソフトウェア埋込み型」と呼びます。

サプライチェーン攻撃では、日本の9割以上を占める中小企業が契機となっています。

中小企業はセキュリティ対策にコストをかけられず、サイバー攻撃に脆弱であるケースが多いためです。

どれだけセキュリティ対策が万全でも、サプライチェーンの内部にリスクがあれば、攻撃を避けることは困難といえるでしょう。

近年高まるサプライチェーン攻撃の脅威。IPAもセキュリティ脅威の第4位に位置づけ

サプライチェーン攻撃は、情報セキュリティ上の重大な脅威となりつつあります。

IPA(独立行政法人情報処理推進機構)による「情報セキュリティ10大脅威 2019(組織編)」では、サプライチェーン攻撃(「サプライチェーンの弱点を悪用した攻撃の高まり」)が、新たに4位にランクインしました。[注1]

サプライチェーン攻撃と関連して、標的型メール攻撃などをふくむ「標的型攻撃による被害」が1位にランクインしており、近年脅威を増しつつあることが分かります。

サプライチェーン攻撃の怖さは知らずに加害者となる点にある

サプライチェーン攻撃の怖さは、企業や組織が被害者だけでなく、加害者にもなる点にあります。

マルウェアに感染した企業のPCから、サプライチェーンで繋がりのある別の企業に攻撃を仕掛るからです。

特に中小企業は狙われやすく、知らないうちに侵入経路となることも少なくありません。

サプライチェーン攻撃についての今後の動向は?国や自治体も対策に向けて動き出す

サプライチェーン攻撃の増加を受け、国や自治体も対策に向けて動き出しています。

ここでは、サプライチェーン攻撃に関する今後の動向を解説します。

改正個人情報保護法でもサプライチェーン攻撃へ言及あり

サプライチェーン攻撃に言及し、委託先・委託元が必要な対策を行うことを定めたのが、改正個人情報保護法(個人情報の保護に関する法律)です。

第22条(委託先の監督)は、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」と規定しています。[注2]

つまり、サプライチェーン内で個人情報のやりとりが発生する際に、委託元は自社のセキュリティ対策だけでなく、委託先のセキュリティ対策の管理監督も求められます。

サプライチェーン攻撃に対処するには、情報セキュリティにおける委託先・委託元の緊密な連携が欠かせません。

サプライチェーン攻撃への対策法

サプライチェーン攻撃への対処法は3つあります。

自社のセキュリティだけでなく、重要情報を委託する企業のセキュリティ対策も注視します。

  1. 委託先を選定する際、評価項目に情報セキュリティ対策の状況を盛り込む。
  2. 委託契約を結ぶ際、実施すべき情報セキュリティ対策の一覧を委託先に提示し、実施を求める。
  3. 委託先の情報セキュリティ対策を評価・モニタリングする仕組みを作り、実施状況を常にチェックする。

サプライチェーン攻撃の多くは、重要情報の委託契約を結んだ取引先企業・関連会社を経由して発生します。

委託先を選定する際は、情報セキュリティ対策が十分な企業を選びます。

また、委託契約を結ぶ際は、何が重要情報に当たるかを明確にし、取り扱い方法を細かく決めます。

場合によってはNDA(秘密保持契約)を結ぶのも効果的です。

情報セキュリティ対策をモニタリングする仕組みを作り、委託先の実施状況を常に評価することも大切です。

自社のセキュリティだけでなく、サプライチェーン攻撃への早急な対策を

経済産業省とIPAが作成した「サイバーセキュリティ経営ガイドライン Ver 2.0」において、「経営者が認識する必要がある3原則」として、「自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要」が2番目に挙げられています。[注3]

サプライチェーン攻撃の脅威は、自社が被害者となるだけでなく、別の企業に対する加害者にもなり得る点にあります。

自社の取引先企業や関連会社の委託契約を見直し、サイバー攻撃に強いサプライチェーンを構築することが重要です。

[注1] IPA(独立行政法人情報処理推進機構):情報セキュリティ10大脅威 2019
[注2] JECIA(個人情報保護協会):個人情報保護法指針(ガイドライン)
[注3] 経済産業省:サイバーセキュリティ経営ガイドライン Ver 2.0

関連記事

エリアマーケティング戦略とは?分析のポイントや手法を解説

これから店舗を出店するとき、あるいは既存店舗の戦略の見直しを行うときに有効なのが「エリアマーケティング」です。特に、今後人口の減少が見込まれている日本では、競合店との競争は激化の一途をたどると予想されます。限られた顧客を確保するためにも、エリアマーケティングの重要性はますます高まっていくでしょう。 ここではエリアマーケティングを行う目的やその指標、分析のポイントなどについて解説します。

対談ウェビナー① 「次世代経営者の人材育成」 株式会社スコラ・コンサルト 柴田昌治プロセスデザイナー代表

どうして、日本企業には経営人材が育たないのか。何が変革を阻んでいるのか。大企業が抱える病理とは…。バブル期の80年代後半から、日本企業の「組織風土改革」に取り組んできた株式会社スコラ・コンサルト創業者の柴田昌治氏と、フロンティア・マネジメント株式会社大西正一郎代表が、2回に分けて討議します。

マーケティングファネルはBtoBでも使える?意味や活用法を解説

マーケティングファネルは、マーケティングにおいて効果的なアプローチを行うために用いられるビジネスの基本的な考えです。 購買のどの段階で見込み客が脱落しているかを把握するため、マーケティングファネルは有効な手段となります。そのため、まずはマーケティングファネルがどのようなものであるのかを理解しておくと良いでしょう。 本記事では、マーケティングファネルの基本的な考え方を徹底解説します。BtoCだけでなくBtoBにおいても活用できる考え方なので、ぜひ参考にしてください。

ランキング記事

1

「クララが立った!」を英訳せよ

「クララが立った!」の翻訳は容易ではない。『アルプスの少女ハイジ』を知らない国の人に、「Clara stood up !」や「克拉拉站着!」と直訳しても意味を成さない。言葉には様々な意味や記号が埋められている。それは、年代、国、民族、言語で大きく異なるからだ。

2

閉店相次ぐ銀座 コロナ禍で商業施設苦境に

東京の代表的な商業地である銀座で、店舗の閉店が増えつつある。メインストリートの「中央通り」から中に入った通りでは、閉店した店舗が目立ち、中央通りに立地するビルでも空室が散見される。

3

リカーリングビジネスはサブスクリプションとどう違う? 新しい収益モデルを解説

従来の商品やサービスを売ったら終わりの「買い切り型」モデルとは異なるビジネスモデルが目立ちます。 そのなかのひとつが「リカーリング」です。リカーリング型のビジネスには様々なメリットやデメリットがあります。 本記事では、リカーリングのメリット・デメリットや、サブスクリプションとの違いについて、具体例を挙げながら解説します。

4

内部統制報告制度「J-SOX法」とは? なぜできたのか?

企業における内部統制は、様々な業務が適正に行われ、組織が適切にコントロールされているかどうかをチェックすることを指しますが、その中でも事業年度ごとの財務報告の内部統制について定めているのが、J-SOX法(内部統制報告制度)と呼ばれる制度です。 J-SOX法は、事業年度ごとに公認会計士ないしは監査法人の監査を受けた内部統制報告書と有価証券報告書とともに内閣総理大臣へ提出することが義務付けられています。 また違反した場合は、金融商品取引法に「(責任者は)5年以下の懲役または500万円以下の罰金またはその両方(法人の場合は5億円以下の罰金)」と罰則が定められています。 しかし、結果的に企業の内部統制を強化し、不正会計などのリスクを減らすことができるため、J-SOX法は企業にとってもメリットのある制度と言えます。 この記事では、J-SOX法の解説のほか、ITシステムに関する「IT統制」についても解説しています。企業の監査部門や、内部統制に関する部署で働いている方は、ぜひ参考にしてください。

5

パワー半導体の世界シェアは?注目市場の今後の動向を解説

パワー半導体(パワートランジスタ)は、家電や電気自動車をはじめとして、さまざまなデバイスの電源管理に使われています。 多くの分野で需要が伸びており、長期的な成長が期待できるマーケットです。 日本の企業や大学発ベンチャーが競争力を保っている分野でもあり、「パワー半導体強国」として世界市場でのシェアを獲得するべく、積極的に研究開発を行っています。 本記事では、世界規模で成長をつづけるパワー半導体の市場規模や、今後の展望を解説します。

人気のキーワード

海外スタートアップ情報はこちら!  寄稿・執筆者募集中