サプライチェーン攻撃とは?取引先経由で本命企業に侵入する手法を解説

システム開発・テクノロジー
サプライチェーン攻撃とは?ざっくりと3行で
  • セキュリティが弱い取引先・ソフトウェアベンダー・開発ツールを踏み台として、本命の大企業・政府機関への侵入を試みる攻撃だ
  • 2020年のSolarWinds攻撃は、IT管理ソフトのアップデートにバックドアを埋め込み、米政府機関を含む18,000組織に一斉に侵入したサプライチェーン攻撃の代表事例だ
  • 対策には取引先のセキュリティ評価(サードパーティリスク管理)・ソフトウェアの更新前の検証・SBOM(ソフトウェア部品表)による依存関係の可視化が有効とされている

【深掘り】これだけ知ってればOK!

サプライチェーン攻撃はサプライチェーン攻撃とは、セキュリティの弱い取引先・ソフトウェアを踏み台にして本命の大企業に侵入するという特徴を持つ。実務での影響と具体的な対策を以下で詳しく解説する。

サプライチェーン攻撃の特徴を理解するには、類似の攻撃・脅威・制度との比較が有効だ。セキュリティが弱い取引先・ソフトウェアベンダー・開発ツールを踏み台として、本命の大企業・政府機関への侵入を試みる攻撃だという点が他との本質的な違いになっている。

実際の被害事例や典型的な手口を見ると、2020年のSolarWinds攻撃は、IT管理ソフトのアップデートにバックドアを埋め込み、米政府機関を含む18,000組織に一斉に侵入したサプライチェーン攻撃の代表事例だというパターンが最も多い。この特性を理解することが効果的な対策への第一歩となる。

サプライチェーン攻撃への対策で最も重要なポイントは組織全体での意識統一と技術的対策の組み合わせだ。技術だけでも人だけでも不完全で、両方を連携させることが求められる。

対策には取引先のセキュリティ評価(サードパーティリスク管理)・ソフトウェアの更新前の検証・SBOM(ソフトウェア部品表)による依存関係の可視化が有効とされているという観点から、自社の状況に合わせた優先度で対策を進めることが重要だ。完璧なセキュリティはないが、リスクを許容範囲に下げることが目標になる。

よくある誤解

サプライチェーン攻撃は大企業だけの問題という誤解

中小企業も同様のリスクに直面している。むしろセキュリティ投資が限られる中小企業が標的になりやすいケースも多い。

サプライチェーン攻撃の対策は一度設定すれば終わりという誤解

脅威は常に進化しており、一度の設定で永続的な保護は難しい。定期的な見直しと従業員教育の継続が必要だ。

会話での使われ方

ITKAGYO運営者のアイコン画像

サプライチェーン攻撃の被害が増えているので、全社員向けの研修を実施します。技術対策だけでは限界がありますから。

情報セキュリティ責任者が全社的な対策強化を宣言している場面。

ITKAGYO運営者のアイコン画像

サプライチェーン攻撃に遭遇したら、まず何をすればいいですか?

セキュリティインシデントへの初動対応を確認している場面。インシデント対応計画の整備が重要だ。

ITKAGYO運営者のアイコン画像

サプライチェーン攻撃の対策コストと、実際に被害を受けた場合のコストを比較すると、対策投資は明らかに合理的ですね。

経営層に向けてセキュリティ投資の正当性を説明している場面。

【まとめ】3つのポイント

  • 「サプライチェーン攻撃の本質」:セキュリティが弱い取引先・ソフトウェアベンダー・開発ツールを踏み台として、本命の大企業・政府機関への侵入を試みる攻撃だ
  • 実害を防ぐには技術対策と人的対策の両輪が必要:2020年のSolarWinds攻撃は、IT管理ソフトのアップデートにバックドアを埋め込み、米政府機関を含む18,000組織に一斉に侵入したサプライチェーン攻撃の代表事例だ
  • 対策コストは被害発生後のコストより必ず安い:対策には取引先のセキュリティ評価(サードパーティリスク管理)・ソフトウェアの更新前の検証・SBOM(ソフトウェア部品表)による依存関係の可視化が有効とされているという対策が基本となる

よくある質問

Q
サプライチェーン攻撃から身を守るための基本的な対策は?
A

対策には取引先のセキュリティ評価(サードパーティリスク管理)・ソフトウェアの更新前の検証・SBOM(ソフトウェア部品表)による依存関係の可視化が有効とされている。最新情報はIPAや各ベンダーの情報を参照することをお勧めします。

Q
サプライチェーン攻撃に被害を受けた場合、最初に何をすべきですか?
A

まずネットワークから隔離し、上長とIT部門への即時報告、記録の保全が初動の三原則です。個人情報が関係する場合は個人情報保護委員会への報告も検討してください。

Q
サプライチェーン攻撃は企業だけでなく個人にも関係しますか?
A

個人にも十分関係します。スマートフォンやPCの管理、パスワードの使い分け、不審なリンクへの注意など基本的な対策は個人でも実施できます。

Q
サプライチェーン攻撃と関連するセキュリティ用語を教えてください。
A

サプライチェーン攻撃とは、セキュリティの弱い取引先・ソフトウェアを踏み台にして本命の大企業に侵入するサイバー攻撃のこと。SolarWinds事例をIT初心者向けに解説します。この分野ではsecurity関連の基礎知識も合わせて学ぶことをお勧めします。

【出典】参考URL

https://biz.kddi.com/content/column/smartwork/what-is-malware/ :マルウェアとセキュリティ脅威の解説
https://eset-info.canon-its.jp/malware_info/special/detail/191031.html :マルウェアの種類と特徴

コメント

「IT用語、難しすぎて心が折れそう……」という方のための、ハードル低めな用語辞典です。

情報レベルは「基礎中の基礎」。会話を止めないためのエッセンスだけを抽出しています。分かりやすさを追求するあまり、時々例え話が暴走しているかもしれませんが、そこは「ほどよく」聞き流していただけると幸いです。
ほどよくIT用語辞典システム開発・テクノロジー
セキュリティ
デプロイ太郎のSNSを見てみる!!
ITKAGYO
タイトルとURLをコピーしました