中小企業の社長が月1回飲み会を控えれば可能なウイルス対策の“その次”とは――森井教授に聞く「サプライチェーン攻撃」対策の現実解:日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか(2)
企業にとって、一連の商流、“サプライチェーン”上の弱点が狙われて侵入される攻撃が無視できなくなっている。中小企業が知るべき現状と、具体的な対策について、サプライチェーン・サイバーセキュリティ・コンソーシアム 中小企業対策強化ワーキンググループの座長を務める森井昌克氏に聞いた。
神戸大学大学院 教授 森井昌克氏(サプライチェーン・サイバーセキュリティ・コンソーシアムの中小企業対策強化ワーキンググループの座長や、つるぎ町立半田病院コンピュータウイルス感染事案有識者会議の会長を務める)
「サプライチェーン攻撃」が重要なキーワードとなっている。ランサムウェアによる被害が多数報告されている中、その侵入方法をより詳しく見ると、被害に遭った組織ではなく、そこにつながる関連会社を経由し、内部に入り込んでいる事例が増えてきた。先日話題となった大阪急性期・総合医療センターにおけるランサムウェア被害についても、関連する給食提供会社のサーバを通じて侵入されたという報道もある。
企業にとって、一連の商流、“サプライチェーン”上の弱点が狙われて侵入される攻撃が無視できなくなっている。その状況認識と今後の対策のために、産業界が一体となって、中小企業を含むサプライチェーン全体のセキュリティ対策を推進することを目的とした、「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」が設立されている。
今回はSC3内で、2020年12月に設置された「中小企業対策強化ワーキンググループ」(WG)座長の森井昌克氏に、中小企業が知るべき現状と、具体的な対策について聞いた。
サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)と中小企業対策強化ワーキンググループ(WG)の位置付け(2022年10月14日開催Webセミナー『今、中小企業が取り組むべきセキュリティ対策〜「サイバーセキュリティお助け隊サービス」の補助金活用〜』の講演「SC3中小企業対策強化WGの活動内容の紹介」のPD資料から引用)
サプライチェーン攻撃の今
「サプライチェーン攻撃」という言葉をよく聞くようになったが、それが指すものは幅広い。一般的に使われるこの言葉の定義について、森井氏は「一連の商流、つまりサプライチェーンにつながる企業群における“関係”を突く攻撃」と表現する。関連企業を利用した攻撃の前提には、階層化された企業のつながりを利用し、下位に存在する中小規模の企業を攻撃してトップティアに侵入したり、サプライチェーンで構成された企業活動を妨害したりするような攻撃を、サプライチェーン攻撃と定義する。
大きな影響を与えたのが、2022年3月に発生したトヨタ自動車における事例だ。内装部品を手掛けるサプライチェーンの一つ、小島プレス工業のシステム障害が起点となり、トヨタ自動車の国内全工場が稼働を止めた。
「サプライチェーンの一つが止まってしまったことで、トヨタ自動車の事業全体を止めることになった。製品供給が途絶えることで全体が止まり、事業体全体に被害が及んだ」(森井氏)
サプライチェーン攻撃と呼べるものが大きな被害を発生させている理由について森井氏は、「やはり中小企業の対策が十分ではないからだ」と指摘する。特に日本ではその傾向が強い。
「国内から国内のサイバー攻撃が一般的ではなく、やはり海外からの攻撃が多い。これまでは海外の攻撃者も日本の産業構造を学習しておらず、著名な企業が狙われる時期もあった。その現状が明らかになるにつれ、日本の中小企業がサイバーセキュリティ対策を講じていないことが、国際的にも明らかになったのではないか」(森井氏)
中小企業の対策が進んでいないのは、急速なIT化の影響だけではなく、「カネ、人、知識がないというのが、失礼ながら実態としてはあると思う」と森井氏。どうしてもセキュリティ対策が後回しになるだけでなく、そもそもその重要性が理解されていないために、対策がおろそかになっているのが現状だ。
その状況で、「セキュリティ対策を講じろ」と言われても無理がある。ITベンダーに相談しようとしても、セキュリティ対策には多額のコストが要求されてしまう。そのコストは利益に結び付かないので、経営者も二の足を踏む。この悪循環を断ち切らねば、サプライチェーン全体を強くすることができない。
「大事なのは、なんとかしてサイバーセキュリティに対する意識を高めること。それに対して、コストが大きな負担にならないような支援が必要だ。そのような、可能な限りの支援策を作り、浸透させるのが大事なのではないか」(森井氏)
ここでいう可能な限りの対策とは、「最小限の対策だ」(森井氏)。「コストがかかる対策をやるか、何もしないか」という2択ではない、その間を埋めるような対策が求められる。それこそが、SC3の中小企業対策強化WGの狙いだ。
月額1万円以下で最低限の対策ができる「サイバーセキュリティお助け隊サービス」
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
経済産業省が「企業に対するサイバー攻撃の特徴と今後の取り組みに関する報告書」を公開
経済産業省は、最近のサイバー攻撃の特徴や具体的事例と、今後の取り組みの方向性についての報告書を取りまとめた。サイバー攻撃が高度化しており、継続的なサイバーセキュリティ対策の点検が重要だとしている。
「『自組織が誰にどのような情報が狙われているか』を知る必要がある」 トレンドマイクロ
トレンドマイクロは「国内標的型分析レポート2021年版」を公開した。7つの標的型攻撃者グループによる攻撃を国内で観測し、サプライチェーンの弱点を悪用した攻撃を確認した。内部活動時の環境寄生型攻撃がより巧妙になっているという。
自社だけでできる、コストとリソースを最小限にした「CSIRT」構築レシピ&鉄則
広く一般的な言葉として使われるようになった「CSIRT」。中堅・中小企業にも必要な理由と、コストとリソースを最小限にした、自組織で構築する際の鉄則や具体的な方法を紹介する。