サプライチェーン攻撃とは、特定の企業や組織を直接狙うのではなく、その企業と取引関係にある企業や子会社など、サプライチェーンの一部を踏み台として攻撃する手法です。
この攻撃の主な目的は、サプライチェーンを経由してターゲット企業のシステムに侵入し、機密情報の窃取やシステムの破壊・妨害を行うことです。取引先や関連会社を介することで、本来の標的に間接的にアクセスします。
この手法が特に危険とされる理由は、ターゲット企業自身のセキュリティ対策がいかに強固であっても、サプライチェーン内のどこかに脆弱性が存在すれば、そこを突破口として攻撃が成立してしまう点にあります。セキュリティ対策の行き届いていない中小の取引先や海外子会社が狙われるケースが多く、攻撃者はそこを起点に本命のターゲットへと侵入を試みます。
実際の被害事例としては、ソフトウェアのアップデート機能を悪用してマルウェアを配布するケースや、委託先のシステムを通じて顧客情報が漏えいするケースなどが報告されており、その影響は広範囲に及ぶことがあります。
サプライチェーン攻撃への対策には、自社のセキュリティを強化するだけでは不十分です。取引先や関連企業を含むサプライチェーン全体のセキュリティレベルを把握・管理することが不可欠です。具体的には、取引先に対するセキュリティ基準の設定、定期的な監査の実施、契約上のセキュリティ要件の明文化などが有効な対策として挙げられます。
自社だけでなく、関わるすべての組織が一体となってセキュリティに取り組む姿勢が、サプライチェーン攻撃から組織を守る鍵となります。
経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)"が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしている対策はどれか。
| ア | 自社が提供する商品及びサービスの個人利用者が行うセキュリティ対策 |
| イ | 自社に出資している株主が行うセキュリティ対策 |
| ウ | 自社のサプライチェーンのビジネスパートナが行うセキュリティ対策 | エ | 自社の事業所近隣の地域社会が行うセキュリティ対策 |
答え:ウ
サイバーセキュリティ経営ガイドラインは、企業の経営者が主体となってサイバーセキュリティ対策を推進するための指針です。このガイドラインでは、自社内部の対策だけでなく、取引先や委託先などのサプライチェーン全体のセキュリティ対策についても状況を確認し、リスク管理を行うことの重要性が示されています。これは、サプライチェーンの一部が攻撃を受けることで、自社にも被害が及ぶ可能性があるためです。したがって正解はウです。アは個人利用者の対策であり企業の管理範囲外です。イは株主の対策でありガイドラインの対象ではありません。エは地域社会の対策であり、企業のサイバーセキュリティ管理の対象とはなりません。
