特集:日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか
コロナ禍を経て、私たちのビジネスの“弱い部分”が明確に狙われるようになりました。“サプライチェーンを狙う攻撃”は製造業をイメージするものだけではなく、企業と企業が協業しビジネスを行う、全ての業種における課題です。いまではむしろ中小規模の企業に狙いが定められ、その規模の企業であれば総合的なセキュリティ力の向上を、それを束ねる大企業はサプライチェーン全体を守るためにガバナンスを効かせなければなりません。これは果たして“ひとごと”なのでしょうか。本特集ではサプライチェーン攻撃が当たり前のように行われる現状を基に、あらゆる業種、あらゆる規模の組織が“自分事”として捉えられるよう、「サプライチェーン攻撃」の現状と対策を整理します。
TopStory
日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか(3):
サプライチェーン攻撃の対策は自社のセキュリティ体制の構築だけでは不十分だ。パートナー企業のセキュリティ対策がしっかりとしていないと、そこを足掛かりにされ、被害に遭うことがある。そこで有効となるのが、提携先とのセキュリティに関する「契約」だ。本稿では、契約や法律の専門家による講演から、具体的なサイバーセキュリティ対応契約のポイントを探る。発注元はもちろん、発注先となる企業は、「こういうことが求められるようになる」という参考にしてほしい。
日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか(2):
企業にとって、一連の商流、“サプライチェーン”上の弱点が狙われて侵入される攻撃が無視できなくなっている。中小企業が知るべき現状と、具体的な対策について、サプライチェーン・サイバーセキュリティ・コンソーシアム 中小企業対策強化ワーキンググループの座長を務める森井昌克氏に聞いた。
日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか(1):
あらゆる業種、あらゆる規模の組織が“自分事”として捉えられるよう「サプライチェーン攻撃」の現状と対策を整理する特集『日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか』。初回は、日本ハッカー協会 代表理事の杉浦隆幸氏の講演「サプライチェーン攻撃の実態」をレポートする。
アイランドホッピング攻撃(取引先や子会社を経由する「サプライチェーン攻撃」)
サプライチェーン全体のサイバーセキュリティ対策が急務に:
経済産業省は、最近のサイバー攻撃の特徴や具体的事例と、今後の取り組みの方向性についての報告書を取りまとめた。サイバー攻撃が高度化しており、継続的なサイバーセキュリティ対策の点検が重要だとしている。
隠蔽工作をする「環境寄生型攻撃」が巧妙化:
トレンドマイクロは「国内標的型分析レポート2021年版」を公開した。7つの標的型攻撃者グループによる攻撃を国内で観測し、サプライチェーンの弱点を悪用した攻撃を確認した。内部活動時の環境寄生型攻撃がより巧妙になっているという。
中堅・中小企業向け、標的型攻撃対策の現実解(6):
広く一般的な言葉として使われるようになった「CSIRT」。中堅・中小企業にも必要な理由と、コストとリソースを最小限にした、自組織で構築する際の鉄則や具体的な方法を紹介する。
批判も少なくないが……:
本稿では、2015年12月28日に経済産業省とIPAが公開した「サイバーセキュリティ経営ガイドライン」の利用実態について、公開から半年以上がたった今、経済産業省に聞くとともに、読者アンケートを実施する。
ソフトウェアサプライチェーン攻撃/SBOM(ソフトウェア部品表)
OSSのサプライチェーン管理、取るべきアクションとは(3):
「SBOM」が大きな注目を浴びている。そもそもSBOMとは何なのだろうか。なぜ米国は大統領令でこれを取り上げたのか。日本企業は対応する必要があるのか。どう対応すればいいか。ここでは、OSSのサプライチェーン管理に関する連載の3回目として、SBOMを解説する。
解決!OSSコンプライアンス(10):
OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決! OSSコンプライアンス」。今回は、協力会社を巻き込んだ開発で重要性を増す、話題のSBOMと標準フォーマットを詳しく解説します。
セキュリティ・アディッショナルタイム(48):
McAfeeのエンタープライズ事業とFireEyeの統合で設立された新しいセキュリティ企業Trellixは2022年9月28日、カンファレンスをラスベガスで開催し、一部をオンラインで配信。リサーチ部門Trellix Advanced Research Center(ARC)の設立を発表した。ARCが15年前に公表したPythonのtarfileモジュールに存在するパストラバーサル脆弱性について約58万の公開レポジトリを調査したところ、今なお存在する割合は高いものだったという。
34%の企業が「OSSの脆弱性を悪用された経験」を持つ:
日本シノプシスは、サイバーセキュリティに携わる意思決定者を対象とした調査の結果を発表した。同社は「ソフトウェアサプライチェーンのリスクが、オープンソース自体の問題を超えて広がっている現状が明らかになった」としている。
特集:1P情シスのための脆弱性管理/対策の現実解(3):
OSSの使用リスク対処として注目を集めているSBOM。SBOMを使ってどのようにサプライチェーン攻撃対策を行えばいいのだろうか。本稿では、@ITが開催した「@IT ソフトウェア品質向上セミナー」の基調講演「SBOMによるサプライチェーン攻撃対策 〜自社ソフトウェアのリスク、把握していますか?〜」で語られた、OSSの使用に潜むリスクへの対処法について、要約してお届けする。
幅広いソフトウェアリポジトリに簡単に統合できる:
Microsoftはソフトウェア部品表(SBOM)生成ツールをオープンソースとして公開した。ソフトウェアのサプライチェーンを管理でき、セキュリティ向上にも役立つ。
サイバーセキュリティ戦略の要となるか:
The Linux Foundation Japanは、調査レポート「SBOM(ソフトウェア部品表)とサイバーセキュリティへの対応状況」を公開した。SBOMの採用の度合いと、オープンソース全体のサイバーセキュリティの改善に向けたSBOMの重要性について述べているという。
需給は高まるが脆弱性も増加:
オープンソースソフトウェアは供給、需要のどちらも大幅な伸びを見せている。しかし脆弱性の管理に弱点がある。ソフトウェアサプライチェーン管理プラットフォームを手掛けるSonatypeが発表した年次調査の報告書によれば、人気の高いプロジェクトでより多くの脆弱性が見つかっている。
パッケージ管理システムには要注意:
オープンソースソフトウェアを介したサプライチェーン攻撃には十分な危険性がある。ソフトウェア開発者向けにどのような対策があるのか、WhiteSourceが解説した。
IT用語解説系マンガ:食べ超(171):
5次請け辺りからマルウェアを仕込むモチベーションが急激に高まるといわれています(いません)。※皆さんご存じかとは思いますが、本作はフィクションです。
特集:サプライチェーンセキュリティ(1):
サイバー攻撃の深化はとどまるところを知らない。2019年は企業に対する「サプライチェーン攻撃」が話題となっている。サプライチェーン攻撃とは何か、何が狙われるのか、どのような対策が考えられるのだろうか。
セキュリティ・アディッショナルタイム(31):
セキュアな開発やコードスキャンに取り組むだけでは防ぎ切れないリスクとして「サプライチェーン攻撃」がある。Kaspersky Labは、2019年4月9〜10日に開催した「Security Analyst Summit 2019」で、その実態を紹介した。
ITmediaはアイティメディア株式会社の登録商標です。