海外拠点を契機とするサプライチェーン攻撃の現状と対策
今回は「海外拠点を契機とするサプライチェーン攻撃の現状と対策」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
企業のセキュリティリスクとなるサプライチェーン攻撃の中には、海外拠点を発端とするインシデントも多い。トレンドマイクロに現状や対策のポイントなどを聞いた。
サプライチェーン攻撃は、情報処理推進機構が毎年発表している「情報セキュリティ10大脅威」の「組織」向け脅威のカテゴリーで、2016年以降6年連続6回ランクインしている。2024年版ではトップのランサムウェアに次ぐ2位となっている。
サプライチェーン攻撃には、主に(1)ソフトウェアの脆弱性を突くタイプ、(2)ユーザーが多いサービスの欠陥を突くタイプ、(3)組織内や取引先などとのビジネス上のつながりの弱点を突くタイプ――の3つがある。特に(3)は、組織本体からセキュリティ監視の目が行き届きにくく、組織本体に比べてセキュリティ対策の手薄になりがちな地方や海外の拠点、子会社や関連会社、取引先などがまず狙われ、攻撃者はこれらを踏み台にして、組織本体へ侵入を図るケースが多い。
トレンドマイクロの調査によると、2023年に日本企業が公表したセキュリティインシデントは約400件あり、このうち海外拠点に関する事案は25件だった。25件のうち11件がランサムウェアの被害で、そのほかも不正アクセスや情報漏えいなど深刻度が高いものが多いという。シニアスレットスペシャリストの平子正人氏は、「日本は製造業が多い特徴から、アジアの拠点での被害が多い」と解説する。
同社の独自調査でも、過去にインシデントを経験した221組織の20%が、海外拠点が攻撃の起点だったと回答した。インシデントによる業務停止期間では、国内拠点の平均4.5日に対して、海外拠点は同7.0日と長いことが分かった。
また、米国立標準技術研究所(NIST)のサイバーセキュリティフレームワークに基づく5つの機能(識別・防御・検知・対応・復旧)ごとの成熟度を分析すると、国内拠点に比べて海外拠点は総じて低いことが分かった。組織の規模や業種による大きな偏りは見られないものの、海外拠点の地域別では、例えば、北米(スコア2.40)は欧州(同3.19)に比べて低く、「部分的に取り組んでいる」「全くできていない」と自己評価している回答企業が多かったという。海外拠点は総じてセキュリティリスクが高い状況にある。
サイバー攻撃者は、基本的にまずセキュリティ対策が手薄な部分(弱点)を狙うと言われる。上述の(3)において特に自組織の場合は、海外拠点や子会社などが弱点になりがちだ。トレンドマイクロ在籍前に東南アジアで勤務経験があるという平子氏は、「現地の従業員が業務用PCにSNSのデスクトップアプリをインストールして、日常的に私用に使っていた。こうした本国と海外拠点の文化の違いや、国・地域ごとの法規制の違い、言葉や解釈の違いなど、海外拠点ならではセキュリティ対策の難しさがある」と指摘する。
さらに、先述の調査のセキュリティ成熟度では、本国と海外拠点でセキュリティ担当者が分かれている場合は、海外拠点の成熟度がより低いスコアになるといい、本国と現地の担当者のコミュニケーションロスなどが要因となっている可能性がある。
本国から海外拠点のセキュリティ監査などを定期的に実施している企業は多いが、現状は実施時にだけ現地のセキュリティ体制を取り繕って平時の運用がおざなりになっていたり、担当者を現地へ頻繁に派遣するのが難しかったりするなどのケースも多い。海外拠点のセキュリティ対策について平子氏は、上述した海外拠点のセキュリティの弱点がビジネスリスクになることを認識して、継続的にリスク管理を行うことが必要だと述べる。
同社が推奨する方法の一つは、ベンダーならではの見解だが、テクノロジーやツールを導入して、海外拠点のIT環境を継続的かつ自動的に監視することだという。
近年、サイバー攻撃に狙われやすいIT資産などを「アタックサーフェス」(日本語では「攻撃対象領域」)を呼び、アタックサーフェスのセキュリティ状態を管理する重要性が提起されている。IT資産は、スプレッドシートなどを使った台帳管理が広く行われているが、これとは別にセキュリティ対策の観点からアタックサーフェスとなりやすいIT資産のセキュリティ状態をツールなどで管理する。この種のツールでは、最新の脆弱性情報などを取り込むことができるため、こうした情報も活用ながらIT資産を管理していく。ツールを利用すれば、継続的なIT資産の状態把握などを手作業ではなく自動化で実施しやすくなる。
さらに、ツールの機能を利用して、管理対象のIT資産のセキュリティ状態をリスクベースで数値として評価する。先述したように、特に本国と海外拠点でセキュリティ担当者が異なる場合は、コミュニケーションがうまくいかず、IT資産のセキュリティ状態の認識に相違が生じやすくなってしまう。平子氏は、IT資産のセキュリティ状態を数値として定量化することで、それを“共通言語”として位置付けるようにすれば、認識のズレを小さくできるだろうとアドバイスしている。
このように、まずは海外拠点のIT環境のセキュリティ状況を継続的かつ効率的に把握、管理する仕組みを整備し、次の段階として、例えば、緊急度の高い脆弱性が発覚したIT資産について修正パッチを適用したり、回避策を講じたりするなどの運用を適切に機能させるように整備を進めていく。平子氏は、海外拠点であっても能動的なセキュリティ対応ができる体制を目指してほしいと述べている。