ニュースイッチ

サプライチェーン標的のサイバー攻撃相次ぐ、求められる対策

サイバー攻撃の影響が業界・社会全体に波及する「サプライチェーン攻撃」の事例が相次いでいる。標的とする企業が活用するサービスや取引先を踏み台とするため、1社だけの取り組みでは不十分。業界・社会全体での意識向上、対策が求められている。(狐塚真子)

「企業間で連鎖するセキュリティーリスクが顕著になった年だ」―。トレンドマイクロの岡本勝之セキュリティエバンジェリストは2021年に発生したサイバー攻撃の動向をこう振り返る。

21年7月には米カセヤのリモートIT管理ソフト「VSA」の脆弱(ぜいじゃく)性を悪用したランサムウエア(身代金要求型ウイルス)攻撃が発生。外部企業へITサービスを提供する事業者を経由し、顧客先にも影響が拡大した。同12月にはJavaベースのログ(履歴)出力ライブラリ「Apache Log4j(アパッチログフォージェイ)」の脆弱性を悪用した攻撃が発生。依然として警戒が続く。

ビジネスのデジタル化により、仮想私設網(VPN)やクラウドなど“外部との接点”を狙った攻撃も拡大傾向にある。トレンドマイクロによると、同社が21年1―8月にランサムウエア攻撃への対応を支援した事案の約7割は、主にVPN経由で侵入が確認されているウイルスだったという。対策をおろそかにすれば、自社を踏み台に関連会社を攻撃する「サプライチェーン攻撃」が生じる可能性もある。

岡本セキュリティエバンジェリストは「樽の水量は水が漏れている側板で決まる」という「ドベネクの要素樽」を例に挙げ、「数社だけがセキュリティー意識を高めても限界がある。業界・社会全体で対策を考えるべき時だ」と指摘する。

自社の対策には、全ての通信を信用できないものとして検査・認証する「ゼロトラスト」の考え方を基本に、多層防御が必須。多要素認証を突破した場合でも、実際に実行している人物は安全なのか、ログなどを確認し、複数の技術で防御することが必要だ。

他組織の安全性確認も重要性を増す。実際にトレンドマイクロでは委託先の企業を選定する際、「リスク影響評価の実施状況」や「インシデント対応能力」など、セキュリティーの観点からもチェックを行っているという。サプライチェーン全体の安全性を高めるため、「各組織がセキュリティーの説明責任を持つことも重要」(岡本セキュリティエバンジェリスト)となる。

日刊工業新聞 2022年2月16日

編集部のおすすめ