サプライチェーン攻撃とは何か：特集：サプライチェーンセキュリティ（1）

サイバー攻撃の深化はとどまるところを知らない。2019年は企業に対する「サプライチェーン攻撃」が話題となっている。サプライチェーン攻撃とは何か、何が狙われるのか、どのような対策が考えられるのだろうか。

[@IT編集部，＠IT]

サプライチェーン攻撃とは何か

　サイバー攻撃の一種である「サプライチェーン攻撃」への関心が高まっている。

　きっかけは、情報処理推進機構（IPA）が、2019年版の「情報セキュリティ10大脅威」の中で、組織向け脅威の4位に「サプライチェーンの弱点を悪用した攻撃の高まり」を取り上げ、対策を呼び掛けたことだ。過去5年間の「10大脅威」ではサプライチェーン攻撃を取り上げていなかったため、話題となった。

2019年版の情報セキュリティ10大脅威（出典：IPA）

　サプライチェーンとは「供給連鎖」、つまり、企業において他社との取引で行う原材料の購買や部品調達、製造、物流、販売、業務委託などの一連の商流を指す用語だ。国内では防衛産業や自動車産業などがいち早くサプライチェーン攻撃への対応を進めている。

　IT分野ではビジネスに欠かせないサーバやPC、ネットワーク機器、そしてその内部で稼働するソフトウェアなどがサプライチェーン攻撃の対象になり得る。IPAはITサプライチェーンとして「システム・サービスを構成するソフトウェア、ハードウェア、サービスのライフサイクル全般（設計・開発・流通・運用・廃棄）」の保護を呼び掛けている。

攻撃は2種類に分かれる

　従来のセキュリティ対策では自社の防御をしっかりとすればサイバーリスクを避けられるという意見が少なくなかった。だが、サプライチェーン攻撃では、別の側面が重要になる。

　さまざまな企業との取引において脆弱（ぜいじゃく）な組織や企業が攻撃され、そこから自社に対する攻撃が発生する場合があるからだ。いわば企業間の信頼の環を悪用して攻撃が進む。場合によっては、製品やサービスの利用者である顧客にも被害が及ぶことがある。

　サプライチェーン攻撃の手法は多岐にわたる。大きく2つに分類すると、不正な部品やファームウェアが組み込まれたハードウェアを利用するものと、ソフトウェアの脆弱性などを利用したものに分かれる。

　それぞれの対策はかなり異なる。まずハードウェアについてはチップレベルからの対策が必要だと考えられている。

Hewlett Packard Enterprise（HPE）のボブ・ムーア氏

　既にベンダー各社が対策に乗り出している。例えば、2019年6月にユーザー企業向けのセミナーで登壇したHewlett Packard Enterprise（HPE）のサーバーソフトウェアおよび製品セキュリティ担当ディレクターであるボブ・ムーア氏は、コンピュータを対象としたサプライチェーン攻撃を念頭に、「コンピュータの設計、開発段階から防御を意識する必要がある」と強調した。「シリコンレベルの信頼性を築き、正当性を常に確認することが重要だ」

　ムーア氏によると、HPEではこの考えに基づき独自の「HPE iLO/BMCシリコン」を自社で開発。サーバの起動時だけではなく、稼働中もサーバのファームウェアを監視し、仮に改ざんなどが見つかればサーバを自動で復旧する。マルウェアなどによってファームウェアを勝手にダウングレードさせない機能や、サーバの構成を記録し、不正な構成変更がされないように防御する機能などがある。

サーバの改ざんを監視するHPEの取り組み（出典：HPE）

　この他、媒体のサニタイズ（消去）に関する米国国立標準技術研究所（NIST）のガイドラインである「NIST 800-88, Revision 1」に準拠し、サーバの廃棄時にSSDの内容を工場出荷時に戻して、データの悪意ある復元を防止する「One-buttonセキュア消去」機能も搭載している。

　ボブ・ムーア氏によるとHPEはFBIとも協力し、最新のセキュリティ脅威やその防止策について協議をしているという。

　さらに調達したハードウェアに対して個別に対策を進めるだけでなく、システムを俯瞰（ふかん）した対応に特徴があることを強調した。

ソフトウェア開発のサプライチェーン、自社のサプライチェーンにまで、脆弱性対策の拡大が必須に