近年、企業の脆弱性を狙ったサイバー攻撃が増加しています。サプライチェーン攻撃は従来、標的とする企業を攻撃するため、セキュリティ対策が手薄な関連企業をターゲットにする手法でしたが、近年は攻撃の方法が多様化しています。
例えば、業務で必要なソフトウェアやアプリケーションをダウンロードした際、マルウェアに感染してしまい、社内外へ甚大な損害を与える被害が増加しており、企業は最新の攻撃手法を踏まえてセキュリティ対策を強化する必要があります。
本記事では、サプライチェーン攻撃の概要や最新動向を踏まえて、攻撃の手法や実際の事例とともに、企業のセキュリティ対策を強化するポイントを分かりやすく紹介します。

近年、企業の脆弱性を狙ったサイバー攻撃が増加しています。なかでも、「サプライチェーン攻撃」はセキュリティ対策が手薄な企業を起点として、標的とする企業を攻撃する手法であり、近年国内外において甚大な被害を与えています。
企業は自社だけでなく関連企業への影響も考え、セキュリティ対策を強化しなければなりません。 本記事では、サプライチェーン攻撃の概要や最新動向を踏まえて、攻撃の手法や実際の事例とともに、セキュリティ対策を強化するポイントを紹介します。

企業を狙うサイバー攻撃の一つであるサプライチェーン攻撃について、概要と最新動向を解説します。

一般的に製品の原料料や部品の調達から商品の製造・出荷・販売・消費までの一連のつながりを、「サプライチェーン」といいます。サプライチェーンのプロセスには、1つの企業だけでなく複数の企業が関わっており、その仕組みを悪用したサイバー攻撃が「サプライチェーン攻撃」と呼ばれているのです。 現在、「サプライチェーン攻撃」の種類は主に2つあります。
1つ目は、標的となる企業の関連会社や委託先、取引先企業など、セキュリティの脆弱な組織を最初に攻撃し、それを足がかりに標的企業を攻撃する方法です。 2つ目は、IT/IoT機器やシステム、ソフトウェアの製造過程でマルウェアに感染させ、バックドアを仕込んでおく方法です。アップデートプログラムに埋め込んで感染させる方法もあります。 これまでは、1つ目のセキュリティ対策が手薄な中小企業を狙う攻撃手法が主流でした。しかし、近年は事業規模を問わず、あらゆる企業にとって脅威となり得る2つ目の攻撃による被害が増えてきています。

IPA（独立行政法人 情報処理推進機構）が情報セキュリティ事故や脅威の状況から選出した「情報セキュリティ10大脅威 組織編」によると、2020年以降3年連続で「サプライチェーンの弱点を悪用した攻撃」がランクインしています。
2020年と2021年は4位、2022年は3位と毎年上位にランクインされていることから、社会的な影響が増しているといえるでしょう。 また総務省「情報通信白書（令和2年版）」では、デジタル変革における新たなセキュリティリスクとしてサプライチェーンリスクを挙げています。
現在、世界規模での分業体制が主流となっており、さまざまな地域の多くの企業が生産や物流などのプロセスに関与するため、攻撃対象となる企業が増え、結果として新たなリスクの要因となっているのです。 リスクの具体例としては、ICT製品やサービスなどの製造・流通プロセスにおける不正なプログラムやファームウェアの組み込み、改ざんなどを挙げています。
ほかにも取引先や委託などの契約関係がある企業のうち、サイバーセキュリティ対策が不十分な企業が踏み台とされ得ることが言及されています。 国内外や業界を問わず、情報漏洩やシステム侵害による被害が年々増加していることから、最新のサプライチェーン攻撃に対応する早急な脆弱性の強化が求められているといえるでしょう。

参考：

ここでは、サプライチェーン攻撃の方法と目的、被害事例について見ていきましょう。

企業を狙うサプライチェーン攻撃の主な方法としては、以下のようなものがあります。

サプライチェーン攻撃の主な目的は、企業の重要データや個人情報の窃取、不正アクセスによる情報漏洩や業務停止などであり、企業に与える影響は大きいといえます。 サプライチェーン攻撃の特に恐ろしい点は、攻撃を受けた企業を起点に、重要取引先である他企業に対しても大きな被害を与えてしまうことです。最悪の場合、信頼を失うだけでなく、取引の中止を余儀なくされることもあるでしょう。 このような背景から、企業の規模に関わらず、セキュリティ対策レベルを向上させる動きが加速しています。

2020年12月、IT管理ソフトウェアやリモート監視ツールの開発を行う米国のSolarWinds社は、システムに不正侵入に用いられるバックドアが含まれていると発表しました。米国連邦政府機関を含む8カ国の40以上の組織、計1万8,000以上の顧客が影響を受けたとしています。 近年、このようなサービス提供を行う企業を狙う攻撃が増えています。ITサービス提供企業を攻略した後はそのユーザーを狙い攻撃するため、被害状況が広範囲になり、世界中の企業がセキュリティリスクに脅かされているといえるでしょう。

企業が講じるべきセキュリティ対策は、「サイバーセキュリティ経営ガイドライン Ver2.0」や「NIST CSF（Cyber Security Framework）」「NIST SP800」などで紹介されています。
以下では、経営者やセキュリティ担当者や従業員などに向けたセキュリティ対策の強化ポイントを説明します。

サイバーセキュリティ経営ガイドラインは、経済産業省とIPAが策定したガイドラインです。同ガイドラインによると、「経営者が認識すべき3原則」と「サイバーセキュリティ経営の重要10 項目」のなかで、サプライチェーン攻撃からのセキュリティ対策の強化ポイントとして、以下が挙げられています。

系列企業やサプライチェーンに関わる企業において適切なサイバーセキュリティ対策が施されていない場合、自社が攻撃されるリスクがあり、結果として他社への2次被害を誘発し、加害者となるリスクがあります。 具体的には、セキュリティ対策の内容を明確にしたうえで契約を行う、定期的にセキュリティ対策状況の報告を受けることで確認を行う、などが対策として有効です。
また、リスクマネジメントの観点で取引先を選択することや、サービスやシステムを企画・設計する段階でセキュリティ対策をあらかじめ組み込むことも必要でしょう。 そのほか、セキュリティインシデントに迅速かつ的確に対処するために、社内に「PSIRT（Product Security Incident Response Team）」を設置することも有効です。PSIRTは自社で開発・提供した製品やサービスに関するセキュリティ対策を担います。自社の製品やサービスにおけるセキュリティインシデントに、迅速かつ的確に対処できる体制を構築しておきましょう。 詳しくは以下で説明しています。

参考：

米国国立標準技術研究所（NIST）が2018年4月に発行した、重要インフラのサイバーセキュリティを改善するためのフレームワークです。
フレームワークは自社や関連する組織間において、セキュリティに関する要求事項のコミュニケーションを図る手段として役立てられています。 広範囲なセキュリティリスクの取り組みにおいては、サプライチェーンリスクマネジメント（Supply Chain Risk Management/SCRM）の役割が重要であると示されています。複数の階層の組織にまたがる企業やグローバルにステークホルダーが存在する企業などで、CSFを採用するケースが増加しています。

参考：

NISTが発行するセキュリティ対策のガイドラインの一つです。SP800シリーズのなかでも「NIST SP800-171」では、保護すべき情報CUI（Controlled Unclassified Information）の管理を目的に、アクセス制御や構成管理、暗号化、認証、システム監視などの技術要件を定めています。 NISTはサイバーセキュリティレベルの世界標準化を進めており、米国では政府関連機関と取引がある企業には体制の整備を求めています。
日本国内においては、各省庁が協力してセキュリティ強化の取り組みをNIST SP800-171並みに引き上げていくことを検討し始めており、今後は民間企業へも同程度の水準が求められる可能性が高いといえます。

参考：

サプライチェーン攻撃による深刻な被害状況を受け、企業ではサイバーセキュリティリスクの管理や対策が求められています。サプライチェーンのプロセスにおいて取引先の選定は重要であり、規格や基準の遵守だけでなく、取引先に対する詳細な調査が不可欠です。 日立ソリューションズでは、取引先評価を支援する「取引先セキュリティ評価支援サービス」を提供しており、サプライチェーン攻撃への有効な対策として役立ちます。
国際的な規格・基準の要求事項をもとに、自社の状況や取引先に合わせたコンサルティングを提供します。ぜひ検討してみてください。 詳しくはこちらのサイトをご覧ください。