サプライチェーン攻撃は悪化の一途、多元的な保護対策が必要–ENISAレポート

今回は「サプライチェーン攻撃は悪化の一途、多元的な保護対策が必要–ENISAレポート」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 欧州ネットワーク情報セキュリティ機関(ENISA)は現地時間7月29日、ソフトウェアサプライチェーンに対する最近の24件の攻撃を分析したレポート「ENISA THREAT LANDSCAPE FOR SUPPLY CHAIN ATTACKS」(サプライチェーン攻撃に関する脅威の状況)を公開し、その中で一元的なセキュリティ保護だけでは不十分だと結論付けた。

 ENISAが分析した最近のサプライチェーン攻撃には、SolarWindsの「Orion」ソフトウェアのほか、CDNプロバイダーであるMimecastや、開発者向けツールを手がけるCodecov、エンタープライズ向けのITシステム管理サービスを手がけるKaseyaの製品を通じたものが含まれている。

 ENISAはAPT(Advanced Persistent Threat)型のサプライチェーン攻撃に焦点を当てており、そういった攻撃で用いられたコードやエクスプロイト、マルウェアは「高度」(Advanced)なものではない一方で、計画や段階的な実施、実行は高度で複雑なものだったと記している。また、サプライチェーン攻撃のうちの11件は既知のAPTグループによって実行されたとも記している。

 レポートには「こういった特徴を知っておくことが、独自に優れた防御体制を敷いている組織であってもサプライチェーン攻撃に脆弱となり得るという点と、攻撃者は組織のサプライヤーを狙うことで、そうした組織に侵入するための新たな道を模索している点を理解する上で重要だ」と記されている。

 サプライチェーン攻撃は悪化するとENISAは予想している。「影響を緩和しながら、将来のサプライチェーン攻撃の可能性を防ぎ、対応する新たな保護対策が緊急に導入される必要がある理由はそこにある」としている。

 ENISAの分析によると、報告された攻撃のおよそ66%において、攻撃者はサプライヤーのコードに着目していたという。また、公表されるまで攻撃に気付かなかったサプライヤーも同じ割合で存在したという。

 ENISAは「この値は、組織がサードパーティーのコードやソフトウェアを導入する前に、そういったものが改ざんされておらず、かつ(何者かに)統制されていないことを保証するための検証に注力すべきだということを示している」と記しているものの、その実行は言うほど簡単な話ではない。

 SolarWindsのインシデントに関する情報公開の後にThe Linux Foundationが強調していたように、オープンソース部分と監査されていないプロプライエタリーなソフトウェアの双方のソースコードをレビューしていたとしても、おそらくあの攻撃を防ぐことはできなかったはずだ。

 ENISAは欧州連合(EU)レベルでの連携を呼びかけており、顧客とベンダーに向けた9つの提言をまとめている。

 顧客に向けた提言は以下の通り。

 サプライヤーに向けた提言は以下の通り。

情報セキュリティの目的と情報セキュリティの必要性とは? | ビジネスチャットならChatwork

情報セキュリティの目的と必要性には、企業の情報資産を守ることがあげられます。さまざまな企業活動で起こり得るあらゆる脅威や新たなリスクに備えて、情報セキュリティの目的と必要性を見直し、適切な情報セキュリティ対策を進めていきましょう。

セキュリティ診断だけでは不十分?ラックのシステム開発でのセキュリティ取り組み | セキュリティ対策のラック

デジタル技術を活用して組織やビジネスモデルを変革するために、デジタルトランスフォーメーション(DX)に取り組む企業が増えています。アジャイル開発やDevOpsを採用する場合、どのようにセキュリティ対策に取り組んでいけばよいのでしょうか。

コロナ禍で大きな脅威となっているフィッシング テレワークのセキュリティを見直そう

ESET社が実施した調査から、世界の多くの企業がテレワークをする従業員のサイバー攻撃への対処能力について過大評価している傾向が見えてきました。テレワークにおけるリスクとは?そして、従業員と企業の安全を確保するためにやるべきこととは?

オフィス勤務再開を検討する企業のための、サイバーセキュリティチェックリスト | カスペルスキー公式ブログ

オフィス勤務の再開について、検討を始めた企業もあります。サイバーセキュリティの面から、検討すべきアクションをリストアップしました。

米連邦機関のサイバーセキュリティは不十分--上院報告書 - ZDNet Japan

米国議会上院の報告書で、調査された8つの連邦政府機関のうち7つが、サイバーセキュリティ施策の弱さを指摘された。

本当に大丈夫?テレワークにおけるサイバーセキュリティ対策 | Tech+

ESET社が実施した調査から、世界の多くの企業がテレワークをする従業員のサイバー攻撃への対処能力について過大評価している傾向が見えてきました。テレワークにおけるリスクとは?そして、従業員と企業の安全を確保するためにやるべきこととは?

世界のネットワークセキュリティファイアウォール市場は、2027年までcagr 22.90%で成長する見込み ...

世界のネットワークセキュリティファイアウォール市場は、2019年には約30億9,000万米ドルとなり、2020年から2027年の予測期間中に22.90%以上の健全な成長率で推移すると予想されています。

Androidの2021年8月セキュリティ更新がアナウンス - 窓の杜

Androidの月例セキュリティ情報が、8月2日に発表された。今回アナウンスされたセキュリティ情報の内容は、少なくとも1カ月前にパートナーへ通知 ...

京都府警の警部補、不倫相手の気を引くために事件現場の情報を漏洩|サイバーセキュリティ.com

京都府警は2021年7月29日、業務上知り得た殺人事件現場の写真を正当な理由なく漏えいしたとして、府警所轄の下京署に所属する30代男性警部補を地方公務員法・守秘義務違反および有印公文書偽造の疑いで送検しました。 京都府警によると、逮捕

中小企業がするべき不正アクセス対策 | Codebook|サイバーインテリジェンス/セキュリティNews ...

各種セキュリティ関連規格の説明 最低限やっておくべきこと 予算、人員など. 3. サイバーセキュリティクラウド(20分) Webサイトへの不正アクセスを遮断する"WAF"(Web Application Firewall)とは? セキュリティ専門知識不要&低予算で実現!

Dxでサイバーセキュリティも大変革 3つのポイントからエンドポイントセキュリティの勘所を示す (1/3 ...

 数年前から頻繁に言及されるようになったDX(デジタルトランスフォーメーション)。レガシーシステムから最新デジタル技術を積極的に活用するべく、オンプレミスだけでなくクラウドサービスが活用され、利用端末もノートPCやタブレット、スマートフォンなどアクセス元も多様化している。このように変化が激しい状況下では、セキュリティ対策も変革する必要がある。そこで、エンドポイントセキュリティ分野で定評のあるサイバーリーズン・ジャパン株式会社のパートナー営業本部 セールスエンジニアリング部 部長 小坂 嘉誉氏が、DX時代に相応しいセキュリティ対策を共有した。

IPA、「情報セキュリティ白書2021」のPDF版を公開 - SecurityInsight | セキュリティインサイト

SecurityInsight(セキュリティインサイト)は情報セキュリティを中心としたエンタープライズITの情報サイトです。

イエラエセキュリティ、サイバーセキュリティ人材育成プログラム「イエラエアカデミー」 を提供開始 - Wmr ...

セキュリティ技術を競う海外のハッキングコンテストで優秀な成績を残しているホワイトハッカーが中心となり2011年12月に設立。 リバースエンジニアリングなどの高度な解析技術を活かして事業展開をしています。

モバイルアプリにおけるセキュリティ診断手法のリモート・トレーニングサービスを開始|サイファー・テック株式会社のプレスリリース

サイファー・テック株式会社のプレスリリース(2021年8月4日 11時15分)モバイルアプリにおけるセキュリティ診断手法のリモート・トレーニングサービスを開始

【Dnp】Dx推進の基礎を支えるセキュリティ人材の確保と育成 - 【キーマンズネット】It、It製品の比較・事例 ...

【DNP】DX推進の基礎を支えるセキュリティ人材の確保と育成のITセミナー情報です。キーマンズネットはIT製品の導入をサポートします!スペックや導入事例、価格情報・比較情報も充実。資料請求も簡単に出来るIT情報サイトです。

キヤノンS&S、中小企業向けセキュリティ対策「まかせてIT セキュリティ対策安心パック」を提供 - クラウド Watch

キヤノンシステムアンドサポート株式会社(以下、キヤノンs&s)は4日、ニューノーマルにおける働き方の変化に対応したセキュリティ ...

キヤノンシステムアンドサポート /ニューノーマルの働き方に対応したセキュリティ対策ソリューション『まかせてit ...

キヤノンマーケティングジャパングループのキヤノンシステムアンドサポート株式会社(代表取締役社長:平賀剛、以下キヤノンs&s)は、昨今のニューノーマルにおける働き方変化に対応したセキュリティソリューションに運用サポートまでパックにした『まかせてitセキュリティ対策安心 ...

ASCII.jp:イエラエセキュリティ、サイバーセキュリティ人材育成プログラム「イエラエアカデミー」 を提供開始

株式会社イエラエセキュリティ 攻撃者の視点を理解し企業の重要な情報資産を守るために 株式会社イエラエセキュリティ(所在地:東京都 ...

イエラエセキュリティ、サイバーセキュリティ人材育成プログラム「イエラエアカデミー」 を提供開始 (2021年8月4日 ...

攻撃者の視点を理解し企業の重要な情報資産を守るために株式会社イエラエセキュリティ(所在地:東京都千代田区、代表取締役社長:牧田誠、以下:イエラエセキュリティ)は、サイバーセキュリティ人材の育成プログラ...(3/5)

イエラエセキュリティ 川田氏著書「ペネトレーションテストの教科書」発売 | ScanNetSecurity

株式会社イエラエセキュリティは8月2日、同社のエンジニア川田柾浩氏が執筆した「ペネトレーションテストの教科書(ハッカーの技術書)」の発売を発表した。

Nriセキュア、Edr・Ndr機能を備えた新セキュリティサービスを提供 | Tech+

NRIセキュアテクノロジーズは8月3日より、端末、ネットワーク、クラウド環境などを一元管理できる「マネージドXDRサービス powered by Cortex XDR from Palo Alto Networks」の提供を開始する。

セキュリティシステムインテグレーター 2028年までの市場分析、傾向、機会、規模およびセグメント予測 ...

セキュリティシステムインテグレーター市場の成長の期待される成長率はどれくらいですか? 202 8年までにセキュリティシステムインテグレーター産業の推定値はどれくらいですか? 業界の主要なプレーヤーを挙げてください。

Eクラス ステーションワゴン S212のセキュリティ強化,セキュリティ ️,久々のショップに関するカスタム ...

今日は夕方に、セキュリティー他でお世話になっている。京都右京区の"B:PACSに。セキュリティーのチョイ変更に。Newスープラ。丁重に、お願い通りに。セキュリティー変更。スタッフの、有○さん。ありがとうございました。○吉さん。また、分からない事!よろしくお願いします。

米連邦機関のサイバーセキュリティは不十分--上院報告書 - CNET Japan

米国議会上院の報告書で、調査された8つの連邦政府機関のうち7つが、サイバーセキュリティ施策の弱さを指摘された。

【オンラインセミナー】海外拠点のit機器の管理にお困りのご担当者さま必見!クラウドで実現するセキュリティ対策とは ...

【オンラインセミナー】海外拠点のIT機器の管理にお困りのご担当者さま必見!クラウドで実現するセキュリティ対策とはのITセミナー情報です。キーマンズネットはIT製品の導入をサポートします!スペックや導入事例、価格情報・比較情報も充実。資料請求も簡単に出来るIT情報サイトです。

制御システムセキュリティカンファレンス2022講演募集(Call for Presentation)

制御システムセキュリティカンファレンス2022講演募集(Call for Presentation). 最終更新: 2021-08-04. JPCERTコーディネーションセンターは、来る 2022年2月3日(木)に「制御システムセキュリティカンファレンス 2022」のオンライン開催を予定しています。. 開催に ...

Instagramが全ユーザーに「セキュリティの確認」を通知します | FD Magazine

Instagramが各ユーザーのアカウントのセキュリティ確認を促す通知をすると発表しました。数ヶ月以内に段階的に通知されます。Instagramのセキュリティ確認今回Instagramが行うのが下記の「セキュリティ確認」です。ログインアクティビティの確認プロフィール情報の確認ログイン情報を共有しているアカウントの確認電話番号やメールアドレスなどのアカウント回復に必要な連絡先の更新画像引用:Instagramを安心・安全

自動車サイバーセキュリティに関する最新情報をまとめ、分析したレポート「サイバーセキュリティ最新動向ガイド」「サイバー ...

2021年08月03日 09:30. 自動車サイバーセキュリティに関する最新情報をまとめ、分析したレポート「サイバーセキュリティ最新動向ガイド ...

NRIセキュア、ログ分析によるセキュリティマネージドサービス、パロアルトのCortex XDRを利用 | IT ...

NRIセキュアテクノロジーズは2021年8月3日、エンドポイント、企業のネットワーク、クラウド環境などのセキュリティを一元管理するマネージドサービス「マネージドXDRサービス powered by Cortex XDR from Palo Alto Networks」を開始した。セキュリティ基盤としてパロアルトネットワークスの「Cortex XDR」を利用する。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「アタックサーフェスマネジメント」が多様化するビジネスニーズに不可欠な理由
IT関連
2022-06-11 04:36
DEIを進める日立、レインボーカラーの企業ロゴ作成–自社の姿勢示す
IT関連
2023-05-27 14:35
NYのトップホテルMint House、新型コロナの影響でそのおもてなしビジネスに変化
その他
2021-06-21 03:52
店舗オペレーション管理ツール「V-Manage」が多言語対応–日々のタスクを自動翻訳
IT関連
2023-11-15 18:34
Internet Explorerのサポート終了にどう対応するか
IT関連
2021-06-04 23:23
無花粉スギの苗をDNA抽出により選別し大量生産するマニュアル公開、DNA鑑定と組織培養で花粉症対策に貢献
IT関連
2022-03-03 10:20
現代のカップルに合わせた銀行サービスの形
IT関連
2021-03-06 15:37
Cloudflare、Workers KVの更新に失敗し障害発生。しかも復旧用ツールがWorkers KVに依存しており使えず、手動で緊急対応
Cloudflare
2023-11-07 21:30
米英の量子コンピュータ2社が経営統合 “現時点最高”の量子コンピュータと量子プログラミングプラットフォームが合体
企業・業界動向
2021-06-11 14:47
ビジネスメール詐欺が増加、人的セキュリティ対策が重要に–ベライゾン報告書
IT関連
2023-07-14 21:29
デジタル証券・セキュリティトークンの発行管理を手がけるブロックチェーン企業Securitizeが約52億円調達
ブロックチェーン
2021-06-23 17:20
急進的なイーサリアムの起業家たちが「DIY性的暴行証拠収集キット」を再定義、支持も非難も受ける野心的なLeda Healthのプロジェクト
フェムテック
2021-06-21 18:14
M1チップ搭載MacBook Proの納期が「1〜3営業日」に短縮
IT関連
2021-02-16 07:12
医療現場のバラバラな書類からデータ構造を解明するMendelが約19.7億円調達
ヘルステック
2021-08-11 01:33