サプライチェーンリスクを起因とするインシデントの変遷と対応策

今回は「サプライチェーンリスクを起因とするインシデントの変遷と対応策」についてご紹介します。

関連ワード （ビジネス視点で分かるサイバーのリスクとセキュリティ、経営等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。

　2020年春、新型コロナウイルス感染症の流行（パンデミック）に伴い、企業向け、消費者向けを問わず、さまざまな物資が供給不足に陥った。パンデミックによる世界的な供給網の遮断を受け、需要を満たす供給ができないサプライチェーンリスクが顕在化した。企業向けITの世界においても、テレワーク需要の急速な高まりから、VPN装置をはじめとしたネットワーク機器の供給不足が大きく話題となった。これらは需要と供給の観点のものだが、近年サイバーセキュリティの世界においてもこの「サプライチェーンリスク」が深刻なものになっている。

　一般的にサプライチェーンリスクとは、組織内外で発生する要因により、計画通りに需要を満たす供給ができなくなるリスクを指す。サイバーセキュリティの世界では、部品や製品、サービスの供給元や組織の利害関係者の過失、故意により発生し得るセキュリティ上のリスクを指し、「サイバーサプライチェーンリスク」とも呼ばれている。サプライチェーンと一口に言っても、グループ企業や業務委託先、製品・部品供給元、仲介業者、メーカー、サービス事業者など多岐にわたる。

　情報処理推進機構（IPA）が毎年公開している「情報セキュリティ10大脅威」においても、サプライチェーンリスクは2019年版で初めてランク入りし、3年連続で上位に挙げられている。サプライチェーンに存在する弱点や課題によって誘発されるサイバーリスクの高まりが、近年急速に顕著になっているとうかがえる。

サプライチェーンリスクの高まりは標的型サイバー攻撃から

　サイバーセキュリティの世界におけるサプライチェーンリスクは、ここ数年で突然登場したものではない。世界的にも大きく話題になったのは、2011年に発生した米国防衛産業に対するサイバー攻撃だろう。二要素認証に関する技術情報がベンダーから窃取され、攻撃に悪用された。利用者の観点では自社環境がリスクにさらされる危険性がある一方、ベンダー側はセキュリティトークンを回収する事態に追い込まれた。

　軌を一にして、国内でもサプライチェーンリスクが大きく話題になったのは、機密情報の窃取を目的とした標的型攻撃が台頭し始めた2011年以降だ。本丸である大手企業や官公庁への攻撃を行う前段階として、セキュリティ対策が比較的甘い取引先やグループ企業、関係組織を侵害し踏み台にする攻撃手法だ。これらの組織は、標的となる組織に対して攻撃を行う上での情報収集や、相手を信じ込ませるためのなりすましメールの精度向上といった意図で踏み台にされた。

　まるで時限爆弾式とも言えるサイバー攻撃によって、2013年には韓国のテレビ局や金融機関が標的となり、テレビ放送やATMのサービスが不能に陥る被害を受けた。数万台規模のPCを一斉に操作不能にすることが目的で、そのための破壊的なマルウェアの配布に、韓国製の資産管理ツールが使われた。2020年に明らかになった日本国内の大手製造業に対するサイバー攻撃でも、エンドポイントセキュリティ製品の管理ツールが悪用されたが、決して真新しいものではなく、類似の攻撃は10年近く前に既に存在していた。組織内の業務端末を一元的に管理するためのツールという特性上、高いアクセス権限を持っていることが逆手に取られた点が特徴だ。

データの価値を裏付けた委託先経由のサイバーリスク

　2013年には、もう一つ深刻なサイバー攻撃による事故が発生した。米国の大手小売業で発生した大量のクレジットカード情報の漏えいだ。商品の在庫管理や顧客の購買行動分析にも使われ、小売業の生命線ともいえるPOSシステムが狙われた。この事故では、店舗設備の管理で出入りしている外部委託業者のITシステムが踏み台となって被害につながった。この当時は、「プリンターのメンテナンス業務で出入りする委託先業者の端末がマルウェア感染している危険性もあり得る」といった話をしても、多くの人がピンと来ない時代だった。クレジットカード裏面の磁気ストライプの部分からカード情報を読み取る脆弱な仕組みが狙われたものだが、米国を中心に小売業やホテルで続々と被害が明らかになり、結果的にPOSシステムのICチップ対応が進んだ。

　米国大手小売業のケースのように、2014年には、日本でも通信教育大手で発生した顧客情報の漏えい事故において「外部委託先」のセキュリティリスクが問題となった。大量の個人情報を名簿業者に売ることで金銭的利益を得ることを狙ったものだが、個人情報をはじめとしたデータに市場価値があることを広く認知させた事故ともいえる。顧客情報の管理業務が委託先で運用されている中、システムの保守業務を請け負う再委託先の派遣社員が行ったもので、国内企業の多重下請け構造に起因するリスクを浮き彫りにした。

経営学 - Wikipedia

経営学（けいえいがく、英: business administration）とは、広義には組織の運営について研究する学問である。対象は企業や組織とする場合が多いが、その二つを限定せず、あらゆる組織体（自治体・NPOなど）が経営学の対象となりう...

経営 - Wiktionary

経(けい)営(えい) • (keiei) (kyūjitai 經營). management. それは我(わ)が社(しゃ)の経営(けいえい)方針(ほうしん)だ。 Sore wa wagasha no keiei hōshin da. That is one of our company's management principles. 経(けい)営(えい)する • (keiei suru) suru...

京都大学経営管理大学院 - Graduate School of Management, Kyoto...

京都大学経営管理大学院はビジネスを主体的に実践する能力を養成するための大学院として2006年に設立されました。MBA課程ではビジネスリーダーシッププログラムやファイナンス・会計プログラムなど4つのプログラムから1つ選択し履修していきます。PH.D課程では実務経験を通して経営に関する問題意識を持った人を受け入れます。

健康経営優良法人認定制度（METI/経済産業省）

健康経営優良法人認定制度とは、地域の健康課題に即した取組や日本健康会議が進める健康増進の取組をもとに、特に優良な健康経営を実践して. いる大企業や中小企業等の法人を顕彰する制度です。

Service | 経営共創基盤（Igpi）

技術と事業競争力のアライメント. AIやIoTなどの新たなテクノロジーにより、経営環境は大きく変革しています。 IGPIでは、リアリテ...

中期経営計画 (2020年3月期～2022...) | Kddi株式会社

このような時代の変化に対応し、当社の目指す「通信とライフデザインの融合」を実現するために、次の3ヵ年に向けた「新中期経営計画 (2020年3月期～. 2022年3月期)」を策定しました。

経営学部 | 神戸大学大学院経営学研究科

在学生へのお願い:ホームページを常時確認してください授業や学生生活に関するお知らせやお願いは、経営学部ホームページ等を通じてお知らせします。以下のサイトを、授業開始前であっても常時確認するように心がけてください。 うりぼーネット：授業全般に関する教務係からの連絡は，お知らせまたは掲示板に示されます。 BEEF：個々の授業の教員からの連絡は，BEEF上に示されます。履修者に対して連絡がなされると，学番メールを通じて連絡が行われます。学番メールを受信できる設定を行

jqac.com

経営品質協議会は、「顧客価値による経営革新」の実現に向けて、日本経営品質賞を中心とした活動支援を目的として、1996年6月に創設された組織です。経営品質に関するセミナー、研修、セルフアセッサー認定を行っております。

経営戦略｜三菱UFJフィナンシャル・グループ

三菱UFJフィナンシャル・グループは、高いグループ総合力、国内外で充実したネットワークを有する、総合金融グループです。

経営学科 | 日本経済大学 | 都築学園

意思決定できる合理的経営を学び、ビジネスチャンスを生かせる知識・技能を身につけます。 経営学を修得しながら、eビジネスやファッション、音楽業界で活躍できる人材を育成します。

日本経済新聞

日本経済新聞の電子版。日経や日経ＢＰの提供する経済、企業、国際、政治、マーケット、情報・通信、社会など各分野のニュース。ビジネス、マネー、IT、スポーツ、住宅、キャリアなどの専門情報も満載。

中期経営戦略：経営方針：株主・投資家情報：Ntt Home

NTTグループのビジョンを実現するために、中期経営戦略の柱に基づく施策を推進し、新たに設定した中期目標の達成に取り組んでまいります。 ESG経営の推進、株主還元の充実による企業価値の向上.

経営理念とサスティナビリティ - CSR・環境 - 企業情報 - Panasonic

私たちパナソニックグループは、あらゆる面で、「社会の公器」にふさわしい経営や行動を心がけ、これからも本業である事業を通して「経営理念」の実践に. 努めてまいります。

経営学部 | 名古屋商科大学 | NUCB Undergraduate School

名古屋商科大学の経営学部は愛知県内でトップレベルの就職率を達成しています。 ソフトバンク株式会社 就職 経営情報学科卒業.

経営理念・経営方針 | 経営方針 | IR情報 | Home | [THK || JAPAN]

THKはこれらの問題に積極的に取り組み、｢世にない新しいものを提案し、世に新しい風を吹き込み、豊かな社会作りに貢献する｣との経営理念のもと、さ. らに高い付加価値を持った技術と製品の提供を...

経営システム | Mtg理念 | 企業案内 | 株式会社mtg

株式会社MTGにおけるグループ経営方式のご案内。企業理念と部門別採算制度をベースとし、社員全員経営を実現しています。｜株式会社MTG

経営学部 | 京都産業大学

マネジメント学科. あらゆる業種・業界で通用するマネジメント能力を養成. 経営学の基礎から、マ 組み合わせは自由自在 自分をマネジメントしながら学ぶ. 経営学部の学びの領域は「戦略と組織」...

第3-3回 辞めない優秀な社員の雇い方 その3【経営論】 - YouTube

▼オンラインコミュニティ『リベシティ』https://liberaluni.com/community★リベ大が本になりました！Amazonhttps://amzn.to/2VztyaF楽天https://af.moshimo.com/af/c/click?a_id=1500158&p_id=56&pc_id=5...

歯科医院経営地域一番実践会 - Home | Facebook

See more of 歯科医院経営地域一番実践会 on Facebook. Places Yokohama Business ServiceBusiness Consultant 歯科医院経営地域一番実践会.

一般社団法人日本能率協会 Jma

一般社団法人日本能率協会（JMA）公式サイト。日本能率協会は「経営革新の推進機関」として、産業界の健全な発展を先導します。教育・研修、大会、展示会、審査検証についてお気軽にご相談ください。

創価大学 - Discover your potential 自分力の発見

創価大学公式サイト。大学の概要、学部・大学院、国際交流・留学、キャンパスライフ、就職・資格、入試案内など、総合的に情報をご覧いただけます。

三現主義 | 用語解説 | 野村総合研究所(Nri)

野村総合研究所（NRI）の公式ホームページです。NRIからの提言や調査・レポート、商品サービス、ITソリューション事例、IR情報、採用情報、CSR情報などを掲載しています。

中期経営計画｜双日株式会社

「中期経営計画2020」では、「中期経営計画2017」における成長路線下での取り組みを継続し、獲得した資産を確実に収益基盤として拡大させることにより、着. 実な成長を実現いたします。

大同生命 | 中小企業・経営者を支える保険 | 大同生命公式ウェブサイト

大同生命では、企業経営者のみなさまのリスクマネジメントに最適な保障制度をご提供しています。 法人会・納税協会の経営者大型総合保障制度に ご加入されている方.

中期経営計画 |Jfeホールディングス株式会社

中期経営計画. HOME. JFE グループは、2018～2020年度の事業運営の指針となる中期経営計画（以下、第6次中期計画）を策定...

経営ビジョン｜投資家情報｜ユニ・チャーム

投資家情報 ＞. 経営ビジョン. 経営ビジョン. 世界中の全ての人々のために、快適と感動と喜びを与えるような、 世界初、世界No.1の商品とサ...

日本空港ビルデング株式会社

日本空港ビルデング公式ホームページ。企業情報、事業内容、株主・投資家情報などについてご紹介いたします。

関西学院大学 経営戦略研究科

Ph.D. Course博士課程後期課程 先端マネジメント専攻. 博士課程後期課程について. IBA経営戦略研究科. 各種制度・情報について. 経営戦略研究科について.

株式会社アシックス Ir情報 経営方針

2019年からカテゴリー基軸の経営管理体制へ移行し、期初の1～2月は北米、欧州の売上が計画比プラスで推移し、オセアニアや南米の売上は前年同期. 比2桁成長を達成しました。

IBM グローバル経営層スタディ : 信頼による卓越-AI/Data...

IBMグローバル経営層スタディ (IBM C-suite Study) では、デジタル時代における新たな企業競争力の源泉であるデータと、企業が構築すべき「3つの信頼」との間に存在する関係性を明らかにしました。特にリーダー達がいかに信頼を構築し、かつ梃子とし、データから独自の優位性を獲得しているかに着目し、デジタル時代の企業が卓越するためのステップやアクションを調査結果に基づき整理しました。

サプライチェーンリスクを起因とするインシデントの変遷と ...

パンデミックによるテレワーク需要の高まりからネットワーク機器の供給不足が大きく話題となった。これ需要と供給の観点だが、サイバーセキュリティでも「サプライチェーンリスク」が深刻なものになっている。

米英のセキュリティ当局、ロシア対外情報庁の脅威アクターに ...

米国土安全保障省のCISA、FBI、NSA、英国国家サイバーセキュリティセンター（NCSC）が共同で、ロシア対外情報庁（SVR）が使用している新しいTTP（戦術、手法、手順）について警告している。

「Windows 10X」、開発中断か - ZDNet Japan

ビジネス視点で分かるサイバーのリスクとセキュリティ 2025年に向けてDXを推進するIT部門の役割とガバナンス "真FinTech" 地域金融の行方

テレワークが招く新たな攻撃リスク やむなく許した「シャドー ...

　テレワークの整備を急ぐあまり、セキュリティー強化が後手に回っている。情報処理推進機構（IPA）の調査でこうした企業が一定数ある実態が明らかになった。サイバー攻撃被害の新たな火種になる恐れがある。

サイバーセキュリ、Ui2と「攻撃遮断くん」の販売代理店契約 ...

サイバーセキュリティクラウド（サイバーセキュリ）<4493>は6日、Ui2（東京都港区）と同社が提供するクラウド型WAF「攻撃遮断くん」の販売代理店契約を締結したと発表した。 今回同社はECサイト構築からIoTビジネスまで幅広く手掛けているUi2とクラウド型WAF「攻撃遮断くん」の販売代理店契約 ...

セキュリティ機関を騙る振込詐欺が発生、実在する職員氏名を ...

特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）は5月、同協会を騙った振込詐欺への注意喚起をWebサイトで呼びかけている。

若手エンジニアには分からない？業務システムになぜrdbが必要 ...

　いささか刺激の強い題名は日経クロステック編集部が付けてくれたものだが若手のエンジニアを批判する意図はまったくない。題名にある「若手エンジニア」はかつての私だからである。

「中国it大手」出資の楽天が、日米両政府に監視されるべき ...

中国IT大手のテンセント（騰訊控股）子会社から出資を受けた楽天グループに対し、日米両政府が監視を強める方針を固めたと報じられている。今回の出資の問題点と楽天が抱え込んだ事業リスクについて解説する。

大阪府河内長野市教育委員会の導入事例を公開 (2021年5月10 ...

～教員の不安を「i-FILTER@Cloud」で払拭！～情報セキュリティメーカーのデジタルアーツ（本社：東京都千代田区、代表取締役社長：道具登志夫、以下デジタルアーツ、証券コード2326）は、大阪府河...

FRBのFinancial Stability Report－Improving conditions | 2021 ...

はじめに FRBによる今回（5月）のFSRについては、資産価格の過大評価に懸念を示したとの報道が目立つ。しかし、内容を全体としてみれば、Covid-19によって生じた金融システムへのストレスが、マクロ的に緩和方向に推移した ...

『【チェックリスト】シニア人材活躍のためにやるべきこと ...

建設業のシニア人材に活躍の場を【働き方改革ラボ】働き方改革をテーマにしたメディアサイト『働き方改革ラボhttps://workstyle.ricoh.co.jp/』は、2021年5月10日(月)に、ス...

Opimas estimates that over US$190 billion worth of Bitcoin is ...

Safekeepingofcryptocurrenciespresentsachallengeforinstitutionsholdingcryptocurrenciesontheirclients'...(3/4)

大阪府河内長野市教育委員会の導入事例を公開 (2021年5月10 ...

～教員の不安を「i-FILTER@Cloud」で払拭！～情報セキュリティメーカーのデジタルアーツ（本社：東京都千代田区、代表取締役社長：道具登志夫、以下デジタルアーツ、証券コード2326）は、大阪府河...(2/2)

デロイト トーマツ、神田外語大学へセールスフォース ...

デロイト トーマツ グループのデロイト トーマツ コンサルティング合同会社は、株式会社セールスフォース・ドットコムの大学向けソリューション「Education Cloud」を基盤とした、神田外語大学（千葉市美浜区、学長 宮内孝久）独自のeポートフォリオ「KUISポートフォリオ」の開発、導入を支援しました。

「酷いサイバー暴力だ!」池江璃花子への"五輪辞退要求"に ...

東京五輪開催の是非を巡る議論に、競泳界のヒロインも巻き込まれた。白血病からの復活を果たし、晴れて東京五輪代表に内定した池江璃花子のSNSに対して、出場辞退や開催反対への賛同を求める声が相次いで寄せられ…

さらなる引き上げが求められる温室効果ガス削減目標 | 2021年 ...

各国の削減目標引き上げでも気温上昇抑制に不十分 米国のバイデン大統領が主導した4月の気候変動サミットでは、先進国を中心に、2030年までの温室効果ガスの削減目標を一気に引き上げる動きが広がった。先進国と新興国と ...

アルミゲートexg-1860〔品番:1151301870〕[〕[Tr-8586518 ...

リスク管理 働き方改革 営業力強化 人材育成 itジャンルから探す itインフラ セキュリティ・bcp対策 音声通信 iot 人工知能（ai） デジタルマーケティング エスコ(ESCO) 280-300mm フックレンチ EA613XD-21