「ソフトウェアサプライチェーン」の部品の中の脆弱性にまつわる深刻なリスク

今回は「「ソフトウェアサプライチェーン」の部品の中の脆弱性にまつわる深刻なリスク」についてご紹介します。

関連ワード (セキュリティ、企業セキュリティの歩き方等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 前回までオープンソースソフトウェア(OSS)の脆弱性にまつわる対応や管理の難しさ、そして、ベンダー主導のシステム開発が主流である日本特有の環境がそれらの状況をより深刻にしていることについて述べた。今回は、このような過程で高機能化とともに複雑化し管理がしにくくなったシステム運用の深刻なリスクについて述べていく。

 システムは、この数十年間で非常に多くの機能を持つようになり、世の中は非常に便利になった。今やスマートフォンからシステムやアプリケーションを利用しなければ、世の中が成立できないと言っても過言ではないだろう。

 しかし、システムの機能が多くなるにつれて複雑になり、管理はしにくくなる。現在のシステムは、部品化されたさまざまなソフトウェアが内包されるようになっている。そして、内包されている膨大な数のソフトウェアを含んだシステム全体を把握することも以前より難しくなっている。

 このような高機能で膨大なソフトウェアを内包するシステムが当たり前となった現在では、システムの全てを最初から作り上げていく開発手法では、スピード感が足りない。スピードはあらゆる事業の肝である。これが一定レベルでなければ、グローバル経済の中での事業としても成り立たない。その結果、部品化したソフトウェアを組み合わせるシステム開発手法が一般化した。そのため一部例外はあるが、このような高機能で複雑なシステムが現在の主流となっている。

 このようなシステムの脆弱性は、セキュリティ対策のほとんどが一瞬で無効化されるような致命的な問題となる。脆弱性を突くサイバー攻撃は、ユーザーにとっては「システムの可用性の阻害」と「情報漏えい」の2つのリスクである。そして、昨今猛威を振るっているランサムウェアによって、この2つのリスクが同時に被害として顕在化されてしまう点が非常に深刻だ。

 攻撃者にとってランサムウェアは、一度の攻撃で何度も利益が得られる可能性のあるドル箱ビジネスになりつつある。被害者のコンピューターにランサムウェアを感染させ、ファイルを勝手に暗号化して使用不能にし、暗号化したデータを回復させると言って、被害者に金を支払わせる。被害者が金銭を支払えば、100%の確率とはほど遠いものの、攻撃者がデータを再び使用可能にさせるための復号鍵を渡してくれることは多い。しかし被害者は、それで安心してはいけない。

 よほどうかつな攻撃者でない限り、攻撃者はランサムウェアでデータを暗号化する際に、同時にそのデータを窃取している。そして今度は、その窃取した情報を暴露すると脅迫し、そうされたくなければ金の支払いを迫る。非常に卑劣な行為だが、攻撃者はそもそも犯罪者だ。倫理観を求めても無駄なばかりか、その後も被害者は何度も金を請求されることもあり得る。これは、攻撃者にとって非常に都合の良い、効率的にもうけやすい仕組みだと言える。

 そう考えてみると、これまで主流だった「情報の窃取」を主目的とするサイバー攻撃は、非常に効率が悪い。その理由は、窃取した情報が必ず金になるわけではないという事実だ。窃取した情報が本物かどうかも事前に分からず、全てが徒労に終わる可能性がある。サイバー攻撃のために高度な知識と労力が必要な場合も少なくない。不確実な情報に基づく情報の窃取を目的とした場合、それらを浪費してしまう可能性があるのだ。

 もちろん、最初からその情報が欲しい誰かの依頼で、その情報の所在が明確であるなら、実行犯としての攻撃者に、かなりの確率で対価がもたらされることだろう。しかし、そのような前提条件がそろうのは、それほど多くはないと思われる。

 ほとんどのサイバー攻撃の目的は、効率的に金を稼ぐことだ。そのため、ビジネスの観点から見ると、本当に収益が上げられるか不確定なまま貴重なリソースを投入するのは非常に効率が悪い。その点、ランサムウェアによる攻撃は、被害者と直接交渉ができることで、金を得られる確率が飛躍的に高まる。近年、ランサムウェアの攻撃の猛威が高まっているのは、それが原因だ。

 ランサムウェアは一例に過ぎないが、ほとんどが金銭目的のサイバー攻撃がよりもうかりやすいように進化していることは間違いないだろう。そして脆弱性は、厳重なセキュリティ対策を施した堅固なシステムであっても、堅固さに関係なく一瞬で無効にされてしまう可能性がある。この非常に大きなリスクをうまくコントロールする方法の確立をしなくては、セキュリティ(またはシステム)管理者は枕を高くして眠れない。

元記事: https://japan.zdnet.com/article/35190768/
IT関連 #セキュリティ #企業セキュリティの歩き方

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
TwitterやYouTubeの投げ銭機能、税金はどう処理する? 税理士YouTuberに聞く
くわしく
2021-05-18 06:49
オカモトホールディングス、経費管理クラウド導入–年間約1万4000時間の削減見込み
IT関連
2021-04-27 18:21
ロケット企業Astra初の商業軌道打ち上げに米規制当局がゴーサイン、8月末にデモミッション
IT関連
2021-08-22 12:33
農作物の生育状態を高速・定量的に測定するフェノタイピング用ローバー開発、設計などをオープンソースとして公開
IT関連
2022-03-15 07:48
新型コロナに対抗する投資家たち、アイルランドの投資家へインタビュー(後編)
VC / エンジェル
2021-02-19 20:11
マイナンバーカードで電子証明書を即時発行 本人確認を自動化 GMOが提供
最近の注目ニュース
2021-01-26 18:22
ポストコロナの新常識–ハイブリッドワーカーのためのセキュリティとは
IT関連
2023-07-04 14:55
アイロボットがプログラミング教育用ロボ発売 アプリで機能をカスタム 走って光って音も鳴る
最近の注目ニュース
2021-01-20 06:32
SpaceXが着地に成功した試作機を再使用する飛行試験の実施を示唆
宇宙
2021-05-10 10:56
極小3Dプリント技術のScronaは大規模な製造業向けのプランを立ち上げる
IT関連
2022-02-17 08:59
アミューズ、三浦春馬さんのデマ発信サイトを名指しで注意喚起
ネットトピック
2021-04-29 15:18
遠隔地採用のスタートアップDeelの新機能は企業が暗号資産でペイロールを蓄えるオプション
IT関連
2022-02-20 02:19
富士通、「モダナイゼーションナレッジセンター」を新設–DX基盤整備を支援
IT関連
2022-09-06 20:23
auじぶん銀行のスマホアプリでアクセス障害 Webサイト経由の利用を呼び掛け
ネットトピック
2021-05-07 17:32