企業における“サプライチェーン攻撃”への対策について

内部対策

“サプライチェーン攻撃”は、近年企業を脅かす脅威として代表的なものになりつつあります。
したがって今回は、サプライチェーン攻撃の概要を解説し、企業が取るべき対策についても、あらゆる角度から解説したいと思います。
企業の情報セキュリティ担当者の方は、ぜひ参考にしてください。

“サプライチェーン攻撃”の概要

まずサプライチェーンとは、原料の調達から製造、流通といった一連の課程のことを言います。
そしてサプライチェーン攻撃とは、名前の通りこのサプライチェーンを利用したサイバー攻撃のことを指しています。
サプライチェーン攻撃には主に2つの種類があり、1つはソフトウェアなどの製造課程においてウイルスに感染させる方法です。
そしてもう1つは、標的となる企業の子会社や取引先(業務の委託先や仕入れ先)などに攻撃を仕掛け、そこから標的の企業に入り込むという方法です。
この方法では、比較的情報セキュリティ対策が手薄な中小企業が標的になるケースが多いです。

サプライチェーン攻撃の対策について

サプライチェーン攻撃への対策は多岐に渡ります。
またサプライチェーンが複雑に構成されている企業ほど、サプライチェーン攻撃への対策を取るのは難しいとされています。
主な対策を簡潔に解説しましょう。

組織単位での対策

・特定の人員に工程を依存しない
・組織内の命令統計や責任者の技術を把握する(取引先を含む)
・取引先の情報セキュリティ対策について契約書で明確にする

人員に関する対策

・特定の従業員だけが取引先から提供される機密情報にアクセスできないように、複数の担当者で監視するシステムを導入する
・取引先や情報セキュリティ担当者に対して、情報セキュリティにおける教育、または研修などを適切かつ定期的に行う

物理的な対策

・監視カメラの設置などによって、不審者への対策がされている部屋、もしくは拠点において、ソフトウェア等を開発する

サプライチェーン管理に関する対策

・出荷判定や変更管理などのマニュアル、製造記録などを作成し、保管する
・開発システムまたは運用システムの操作履歴の保管に関する手順をマニュアル化する
・運用する従業員を限定し、日報等の提出や不正な操作の確認などを義務付ける

開発環境に関する対策

・専門性の高い知識がある従業員を適切に教育し、配置する
・サプライチェーンの課程において、有効なチェックポイントをいくつか設定する
・運用しているシステムと開発環境を完全に切り離す

まとめ

サプライチェーン攻撃の概要、対策について解説しましたが、いかがでしたか?
サプライチェーンはいくつもの作業、いくつもの企業で構成されているため、あらゆる方面に対してサプライチェーン攻撃への対策を取る必要があります。
ただ今回解説した対策を1つでも多く実践することで、サプライチェーン攻撃の被害に遭う可能性が低くなることは確かです。

タイトルとURLをコピーしました