「IT訴訟 徹底解説」連載の細川氏が明かす、サプライチェーンリスクから組織を守る「契約」の極意：日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか（3）

サプライチェーン攻撃の対策は自社のセキュリティ体制の構築だけでは不十分だ。パートナー企業のセキュリティ対策がしっかりとしていないと、そこを足掛かりにされ、被害に遭うことがある。そこで有効となるのが、提携先とのセキュリティに関する「契約」だ。本稿では、契約や法律の専門家による講演から、具体的なサイバーセキュリティ対応契約のポイントを探る。発注元はもちろん、発注先となる企業は、「こういうことが求められるようになる」という参考にしてほしい。

[宮田健，＠IT]

ITプロセスコンサルタントの細川義洋氏

　2023年2月28日に開催された「ITmedia Security Week 2023 春」の「サプライチェーン攻撃だけじゃない、新たな脅威」ゾーンにおいて、ITプロセスコンサルタントの細川義洋氏が「サプライチェーンリスクから組織を守る契約とは」と題して講演した。＠ITで「『訴えてやる！』の前に読む IT訴訟 徹底解説」を連載する細川氏は、「日本でも頻発するサプライチェーンの弱い部分を狙うセキュリティインシデント発生時においても“契約”をもって被害を最小限に食い止める」という視点を提供する。実例や裁判例を基にした組織の守り方を考えてみよう。

「サプライチェーンリスク」が目の前に

　サプライチェーンのリスクはもはや無視できない状況だ。情報処理推進機構（IPA）が毎年公開する「ITセキュリティ10大脅威」においても、「サプライチェーンの弱点を悪用した攻撃」が2023年は2位に入った。年々順位が上がってきており、「関心が高まっているだけでなく、攻撃も増えてリスクが大きくなっている」と細川氏は話す。今回はそのサプライチェーンリスクのうち、特に「サイバーセキュリティ」に注目してみる。

　サイバーセキュリティにおけるサプライチェーンリスクは、例えばある組織を攻撃しようとしたときに、大手企業の本社だと既にセキュリティ対策が高いレベルにあり、直接攻撃するのは困難な状況にある。しかしその本社につながる地方支社やパートナー企業はまだセキュリティレベルが十分ではないことがある。攻撃者はセキュリティの甘い地方支社やパートナー企業のシステムから侵入し、そこを足掛かりに本社のシステムに侵入し、マルウェアをばらまいたり、機密情報を奪ったりする。

　「あるいは海外の委託先のうち、セキュリティが甘いところを狙う。保守運用業者やサービス事業者を攻撃し、そこから侵入することもある。また、サイバー攻撃ではなく、保守運用を担当する従業員をソーシャルエンジニアリングでリアルに狙ったり、悪意を持った運用担当者が情報を盗むといった内部不正が起こったりすることもサプライチェーンリスクの一つだ」（細川氏）

　サプライチェーンを狙った攻撃の事例は枚挙にいとまがない。例えば米国子会社経由でランサムウェア被害に遭ったことで、国内の光学機器メーカーの財務情報や顧客情報が人質になった事例や、委託先ベンダーが構築した通信販売用サイトにSQLインジェクションがあったことで、顧客の個人情報が流出した事例もサプライチェーンリスクが顕在化したものと考えていいだろう。また、「システムの保守管理、業務委託の従業員が悪意を持ち、管理業務のための権限を悪用した上で偽造キャッシュカードを作った事例すらある」と細川氏は述べる。

　細川氏が注目するのは、細川氏自身もコンサルタントとして事後処理に関わった事案だ。医療機関が持つ患者の医療情報について、本来は匿名になるように加工するはずのデータを、患者本人に通知することなく、取得して利用していた上に、その匿名化にもミスがあった。さらに、データを収集して匿名化する業者と、それを受け取り国で管理する委託業者を分離して安全性を高めるはずが、両方とも同じ業者によって運用されていたという問題も判明した。プログラミングのミス、システム構成のミス、運用のミスが重なったことになる。

医療情報における事案を例に（細川氏の講演資料から引用）

　細川氏はこれらの事案を総括し「自社がいくら頑張って守っても、外部の対応が問題となって被害に遭ってしまう。しかし、外部がやっていることなので、直接手を出すことができない。後はもう信じるしかないのだが、何をどう信じればよいのか――。それこそが、しっかりと契約を結ばなくてはならない理由だ」と述べる。

「しっかりとした契約」とは？