ID INFORMATION DEVELOPMENT
お問い合わせ
ソリューション トップ
システム開発
マネージドサービス(運用・保守)
サイバーセキュリティ
OT/産業制御系セキュリティ
ID-Ashura/セキュリティサービス
ID-Cross/クラウドサービス
業務改革
導入事例 トップ
業務改革
サイバーセキュリティ
システム環境構築
IT運用/マネージドサービス
コラム
お役立ち資料ダウンロード
イベント・セミナー トップ
近日開催予定
オンデマンド配信
会社情報 トップ
会社概要
社長からのごあいさつ
沿革
経営理念
役員一覧
コーポレートガバナンス
フェロー紹介
電子公告
IDグループ トップ
株式会社IDホールディングス
株式会社IDデータセンターマネジメント
株式会社DXコンサルティング
株式会社 プライド
株式会社 ID AI Factory
愛ファクトリー株式会社
ID武漢
IDシンガポール
IDアメリカ
IDミャンマー
IDヨーロッパ

KNOWLEDGE - COLUMN ナレッジ - コラム

【エバンジェリスト・ボイス】サプライチェーンに対するセキュリティ対策のすすめ

2018-01-09

エバンジェリスト・ボイス

サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 内山 史一

サイバー・セキュリティ・ソリューション(CSS)部に所属する、エバンジェリストの内山です。
少し遅くなりましたが、新年あけましておめでとうございます。本年もよろしくお願いいたします。

年始早々、「Meltdown」「Spectre」と名付けられたCPUの脆弱性が報告されていますが、OSやアプリケーションの開発元が公開する情報を確認し、攻撃の実現性を冷静に評価して対応方針を見極めたいですね。
さて、今回のエントリーはこの脆弱性ではなく、年末年始にセキュリティベンダー各社から公開された「2018年の脅威予測」の中から個人的に気になった「サプライチェーン攻撃」についてお話をしたいと思います。


【サプライチェーン攻撃とは?】
サプライチェーンは、資材の調達から製造・物流・販売といった工程を経て、サービスがお客様の手元に届くまでの一連のビジネス活動です。

当社を例にご説明しますと、当社はベンダーからソフトウェアやハードウェアを調達し、グループ企業やビジネスパートナー様と共同で開発作業を進めることによって、お客様へITシステムやサービスを提供しています。

このように、通常、サプライチェーンには複数の企業が関わっており、いまや単一企業がお客様へサービスを提供するケースは殆ど無いと言っても良いのではないでしょうか。
前置きが長くなりましたが、サプライチェーン攻撃とはサプライチェーンの脆弱な部分を狙い、マルウェアを混入したソフトウェアやハードウェア、もしくは取引先や関連企業等を通じてターゲット企業・組織へ攻撃する手法です。


【何が危険なのか?】
サプライチェーン上のソフトウェアやハードウェア、取引先や関連会社が悪用されるため、ターゲット企業・組織は攻撃に気付きにくいと言えるでしょう。

例えば、正規の開発元から提供されたソフトウェアであれば、私達は疑わずインストールしてしまう可能性が高いのではないでしょうか。

また、攻撃者が防御が手薄な関連企業を攻撃し業務メールを盗聴していた場合、関連企業になりすまし精巧な業務メールをターゲット企業・組織へ送ることが可能となるでしょう。

その場合、ターゲット企業・組織への侵入以外にビジネスメール詐欺に悪用される脅威も想定されます。


【最近の事例】
昨年発生した正規ソフトウェアの更新機能が悪用された事例を紹介いたします。
皆さまの記憶にも新しいと思いますが、2017年6月27日、ウクライナやロシアを中心に大規模なサイバー攻撃が発生しました。このとき確認されたマルウェア「NotPetya」ですが、Microsoft はウクライナの税務会計ソフト「M.E.Doc」のアップデートメカニズムを経由して感染を広げた可能性を指摘しています。


外部リンク: New ransomware, old techniques: Petya adds worm capabilities


また、同年9月、システムクリーナーソフトの「CCleaner」にマルウェアが埋め込まれて配信された問題について、Cisco Systems はハイテク企業の知的財産を狙う標的型攻撃だった可能性を指摘しています。


外部リンク: CCleaner Command and Control Causes Concern



【自社で取り組むべきこと】
先に紹介した事例のような攻撃が多数の国内企業で発生したことは確認されていませんが、攻撃者がその有効性を認めればサプライチェーンの脆弱な部分を狙った攻撃のため、重要インフラ事業者のような特定企業への脅威に留まらず、多くの企業が認識すべき脅威と言えるでしょう。

皆さん、ビジネスパートナーや外部委託先のセキュリティ対策状況は把握されていますか?
この機会にサプライチェーン全体のセキュリティ強化の取り組みとして、ビジネスパートナーとの情報連携や外部委託先管理の見直しをお勧めいたします。
サプライチェーン全体の対策および状況把握については、「サイバーセキュリティ経営ガイドライン」の重要10項目の一つとして記載されていますので、対策の見直しの参考になるでしょう。


外部リンク: サイバーセキュリティ経営ガイドライン Ver2.0



サプライチェーン攻撃に限ったものではありませんが、自社システムの構成管理状況の把握、OS・ソフトウェアの早期アップデート、バックアップ取得状況とリストア手順の点検は基本的な対策として欠かせないものです。



年始早々、大変堅苦しいお話になってしまいましたが、本年も「セキュリティ」という切り口で皆さまのお役に立てる情報を発信してまいります。


それでは、次のエントリーでお会いしましょう!



当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。

メルマガ登録ボタン

内山 史一

株式会社インフォメーション・ディベロプメント 先端技術部 エバンジェリスト

この執筆者の記事一覧

関連するナレッジ・コラム

ITエンジニアの現地作業 ミスを減らす!作業本番のポイントとは

2024-03-21

エバンジェリスト・ボイス

NTTのIP網移行と、通信の未来とは

2024-03-14

エバンジェリスト・ボイス ITニュース

ITエンジニアの現地作業 ミスを減らす!事前準備のポイントとは

2024-01-11

エバンジェリスト・ボイス

CATEGORY

カテゴリー

RANKING

人気記事ランキング

  1. 生成AIのトレンド「LLM+RAG」を解説

    2024/2/29 9:00

  2. 使える!データ収集術「ウェブスクレイピング」を伝授します

    2022/11/10 9:00

  3. どのインスタンスを選べばいいの?EC2性能比較!

    2021/12/9 9:00

  4. NuitkaでPythonプログラムを配布してみよう

    2022/12/15 9:00

  5. DockerでJupyterLabの環境を作ろう

    2021/10/7 9:00