検索
特集

サプライチェーン攻撃とは何か特集:サプライチェーンセキュリティ(1)

サイバー攻撃の深化はとどまるところを知らない。2019年は企業に対する「サプライチェーン攻撃」が話題となっている。サプライチェーン攻撃とは何か、何が狙われるのか、どのような対策が考えられるのだろうか。

Share
Tweet
LINE
Hatena

サプライチェーン攻撃とは何か

 サイバー攻撃の一種である「サプライチェーン攻撃」への関心が高まっている。

 きっかけは、情報処理推進機構(IPA)が、2019年版の「情報セキュリティ10大脅威」の中で、組織向け脅威の4位に「サプライチェーンの弱点を悪用した攻撃の高まり」を取り上げ、対策を呼び掛けたことだ。過去5年間の「10大脅威」ではサプライチェーン攻撃を取り上げていなかったため、話題となった。


2019年版の情報セキュリティ10大脅威(出典:IPA

 サプライチェーンとは「供給連鎖」、つまり、企業において他社との取引で行う原材料の購買や部品調達、製造、物流、販売、業務委託などの一連の商流を指す用語だ。国内では防衛産業や自動車産業などがいち早くサプライチェーン攻撃への対応を進めている。

 IT分野ではビジネスに欠かせないサーバやPC、ネットワーク機器、そしてその内部で稼働するソフトウェアなどがサプライチェーン攻撃の対象になり得る。IPAはITサプライチェーンとして「システム・サービスを構成するソフトウェア、ハードウェア、サービスのライフサイクル全般(設計・開発・流通・運用・廃棄)」の保護を呼び掛けている。

攻撃は2種類に分かれる

 従来のセキュリティ対策では自社の防御をしっかりとすればサイバーリスクを避けられるという意見が少なくなかった。だが、サプライチェーン攻撃では、別の側面が重要になる。

 さまざまな企業との取引において脆弱(ぜいじゃく)な組織や企業が攻撃され、そこから自社に対する攻撃が発生する場合があるからだ。いわば企業間の信頼の環を悪用して攻撃が進む。場合によっては、製品やサービスの利用者である顧客にも被害が及ぶことがある。

 サプライチェーン攻撃の手法は多岐にわたる。大きく2つに分類すると、不正な部品やファームウェアが組み込まれたハードウェアを利用するものと、ソフトウェアの脆弱性などを利用したものに分かれる。

 それぞれの対策はかなり異なる。まずハードウェアについてはチップレベルからの対策が必要だと考えられている。


Hewlett Packard Enterprise(HPE)のボブ・ムーア氏

 既にベンダー各社が対策に乗り出している。例えば、2019年6月にユーザー企業向けのセミナーで登壇したHewlett Packard Enterprise(HPE)のサーバーソフトウェアおよび製品セキュリティ担当ディレクターであるボブ・ムーア氏は、コンピュータを対象としたサプライチェーン攻撃を念頭に、「コンピュータの設計、開発段階から防御を意識する必要がある」と強調した。「シリコンレベルの信頼性を築き、正当性を常に確認することが重要だ」

 ムーア氏によると、HPEではこの考えに基づき独自の「HPE iLO/BMCシリコン」を自社で開発。サーバの起動時だけではなく、稼働中もサーバのファームウェアを監視し、仮に改ざんなどが見つかればサーバを自動で復旧する。マルウェアなどによってファームウェアを勝手にダウングレードさせない機能や、サーバの構成を記録し、不正な構成変更がされないように防御する機能などがある。


サーバの改ざんを監視するHPEの取り組み(出典:HPE)

 この他、媒体のサニタイズ(消去)に関する米国国立標準技術研究所(NIST)のガイドラインである「NIST 800-88, Revision 1」に準拠し、サーバの廃棄時にSSDの内容を工場出荷時に戻して、データの悪意ある復元を防止する「One-buttonセキュア消去」機能も搭載している。

 ボブ・ムーア氏によるとHPEはFBIとも協力し、最新のセキュリティ脅威やその防止策について協議をしているという。

 さらに調達したハードウェアに対して個別に対策を進めるだけでなく、システムを俯瞰(ふかん)した対応に特徴があることを強調した。

ソフトウェア開発のサプライチェーン、自社のサプライチェーンにまで、脆弱性対策の拡大が必須に

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  2. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  3. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  4. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  5. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
  6. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. 「DX推進」がサイバー攻撃を増加させている? Akamaiがセキュリティレポートを公開
  9. CISOが失敗を許容する組織を構築するために注目すべきは生成AIと何か? ガートナーが提言
  10. 6年間でAndroidにおけるメモリ安全性の脆弱性を76%から24%まで低減 Googleが語る「Safe Coding」のアプローチと教訓とは
ページトップに戻る