サプライチェーンのリスクを評価、軽減するための8つのヒント：サプライチェーンリスク管理は待ったなし

ESETは公式ブログで、サプライチェーンのサイバーセキュリティリスクを評価、軽減するための8つのヒントを紹介した。

[＠IT]

　ESETは2024年1月25日（スロバキア時間）に公式ブログで、サプライチェーンのサイバーセキュリティリスクを評価、軽減するための8つのヒントを紹介した。

　企業の活動は複雑なサプライチェーンの上に成り立っているが、現在では、サプライチェーン上のどの企業もサイバー攻撃のリスクにさらされている。サイバー犯罪者は、セキュリティ対策が手薄な企業をまずターゲットとし、そこを踏み台にして、業務上つながりのある他の企業を攻撃しようと虎視眈々（たんたん）と狙っている。

　こうした状況では、「パートナーやサプライヤーのサイバーセキュリティ体制をむやみに信頼することは、持続可能ではない」とESETは述べ、サプライチェーンリスクの管理に真剣に取り組むべき時だと強調している。

　ESETは、サプライチェーンへのサイバー攻撃の主な種類を挙げ、それらのリスクを評価、軽減するための8つのヒントを紹介した。

サプライチェーンへのサイバー攻撃の主な種類

プロプライエタリソフトウェアの侵害

　サイバー犯罪者がソフトウェア開発者への攻撃に成功し、マルウェアをコードに混入させ、それが下流の顧客に配布されて被害につながる場合がある。最近の事例では、人気のファイル転送ソフトウェア「MOVEit」がゼロデイ脆弱（ぜいじゃく）性を悪用された結果、数百人の企業ユーザーからデータが盗まれ、その勤務先企業の数百万人の顧客に影響が及んだ。

オープンソースサプライチェーンへの攻撃

　ほとんどの開発者は、ソフトウェアプロジェクトの市場投入期間を短縮するために、オープンソースコンポーネントを使用している。だが、脅威者はこのことを知っており、コンポーネントにマルウェアを仕込み、広く普及したリポジトリで公開する手口を使い始めている。米国企業のSonatypeが実施した調査によると、こうした攻撃は前年比で633％増加しているという。また、脅威者は、一部のユーザーのパッチ適用が遅れているオープンソースコードの脆弱性をいち早く悪用する。広く使われている「Log4j」というツールに重大なバグが見つかったときがそうだった。

サプライヤーへのなりすまし詐欺

　ビジネスメール詐欺（BEC）として知られる巧妙な攻撃では、詐欺師が取引先になりすまし、顧客をだまして金銭を振り込ませることがある。攻撃者は通常、電子メールアカウントを乗っ取り、電子メールの流れを監視し、銀行の詳細情報を改ざんした偽の請求書を、タイミングを見計らって送信する。

認証情報の窃盗

　攻撃者はサプライヤーのログイン情報を盗み出し、サプライヤーまたはその顧客のネットワークへの侵入を図る。2013年に発生したTargetの大規模な情報漏えい事件では、ハッカーが同社の空調サプライヤーの1社から認証情報を盗んだ。

データの窃盗

　多くのサプライヤーは顧客に関する機密データを保存している。法律事務所のように企業機密を知る企業は特にそうだ。こうした企業は、恐喝などの手段で換金できる情報を探している脅威者にとって、魅力的なターゲットとなる。

サプライチェーンリスクを評価し、軽減するための8つのヒント

新規サプライヤーのデューデリジェンス（精査）を実施

　サプライヤーのセキュリティ対策プログラムが自社の期待に合致していること、脅威の防御、検知、対応に関する基本的な対策が講じられていることを確認する。ソフトウェアサプライヤーの場合は、脆弱性管理プログラムを導入しているかどうか、製品の品質に関する評判はどうかなども確認する。

オープンソースのリスクを管理

　ソフトウェア構成分析（SCA）ツールを使ってソフトウェアコンポーネントを可視化し、脆弱性やマルウェアを継続的にスキャンし、バグがあれば速やかにパッチを適用する。また、製品開発時のセキュリティ・バイ・デザインの重要性を開発チームに理解させる。

全てのサプライヤーについてリスクレビューを実施

　サプライヤーを洗い出し、基本的なセキュリティ対策を講じているかどうかをチェックする。各サプライヤーにも同じ作業を求める。頻繁に監査を行い、必要に応じて、業界標準や規制を満たしているとの認定をチェックする。

承認済みサプライヤーのリストを作成し、監査結果に従って定期的に更新

　サプライヤーリストの定期的な監査と更新により、企業は徹底したリスク評価を実施し、潜在的な脆弱性を特定し、サプライヤーがサイバーセキュリティ基準を順守していることを確認できる。

サプライヤーに対する正式なポリシーを策定

　サプライヤーのリスクを軽減するための要件を記述する。その中には、満たすべきSLA（サービスレベル契約）などが含まれる。このポリシーは、サプライチェーン全体のセキュリティを確保するために、サプライヤーが満たすべき期待、基準、手順を記述した基本文書としての役割を果たす。

サプライヤーのアクセスリスクを管理

　サプライヤーが企業ネットワークへのアクセスを必要とする場合は、サプライヤーに最小権限の原則を強制する。これはゼロトラストアプローチの一環として導入できる。ゼロトラストアプローチでは、全てのユーザーとデバイスは、確認されるまで信頼されず、継続的な認証とネットワーク監視によって、リスク軽減のレイヤーが追加される。

インシデント対応計画を策定

　最悪のシナリオが発生した場合に、組織に影響が及ぶ前に脅威を封じ込めるために、計画の予行演習を十分に行っておく。この計画には、サプライヤーの担当チームとの連携方法も含める。

業界標準の導入を検討

　ISO 27001とISO 28000には、サプライヤーのリスクを最小化するために、以上の方策の一部を実行するための有用な方法が多数盛り込まれている。