サプライチェーン攻撃について紹介
攻撃者が大手企業に対して情報を狙おうとしても、資金力のある大手企業は万全のセキュリティ対策を構築しています。
そこで近年、標的とする大手企業に直接攻撃を仕掛けず、取引先や業務委託している中小企業などを踏み台にして攻撃するサプライチェーン攻撃という内容について紹介します。
サプライチェーン攻撃とは
まず初めにサプライチェーンとは製品の原材料、部品等の調達から、製造、管理、配送、販売、消費までのプロセス全体を指しており、製品が最終的に消費者まで届くまでの供給の連鎖を意味します。
製品が完成するまでに、自社だけで全てを行うのは現実的ではありません。
色々な取引先と連携して製品が完成します。
そこで攻撃者は大手企業に対して直接攻撃はせず、取引先の中小企業を狙って侵入し、踏み台として大元の企業へ攻撃することをサプライチェーン攻撃と呼びます。
大手企業は外部からのセキュリティ対策は万全にしていた場合も、供給元の中小企業側がセキュリティ対策不備があった場合、そこから侵入されて、攻撃者は中小企業からのアクセスとして大手企業に攻撃します。
リスク
サプライチェーン攻撃によるリスクとしては以下が挙げられます。
【発見が遅れる】
正規の手順でやり取りしているように見えるため、侵入者による攻撃か即座にはわからない可能性があります。
【対策が難しい】
セキュリティ対策に関して、自社だけでは完結しない部分があります。
【影響範囲が広範囲】
被害は1社だけにとどまらず、関係各所に拡大する可能性があります。
【責任の所在があいまい】
他社も含まれるため、どこまでの被害が自社責任となるか判断が難しいです。
対策
前述で対策が難しいということを記載しておりますが、以下の対策を実施することで被害にあう可能性を軽減できます。
ゼロトラストモデルの推奨
「信頼」をゼロとする考えです。
社内ネットワークは安全といった前提を捨てて、全てのユーザを信用しない仕組みです。
例えば、情報資産にアクセスする際は必ず認証・監視するなどが挙げられます。
EDR/NDRによる挙動監視
【EDR(Endpoint Detection and Response)】
パソコンやサーバ機、スマートフォン等の端末に対して挙動を監視します。
【NDR(Network Detection and Response)】
ネットワーク通信を監視して不審な挙動が無いか検知・監視します。
EDR/NDR両方を組み合わせることで多方面からの脅威に関して防御することが可能となります。
組織・運用対策
取引先との契約に関して事前にセキュリティ条項を明記して必要なセキュリティを共有します。
セキュリティ評価(セキュリティチェックシート)を導入して対策が万全かチェックします。
そのほか、情報資産に対してアクセス権限は必要最低限のメンバに限定します。
人的対策
自社・取引先含め協力関係のある企業全てに対してセキュリティ教育の実施が推奨されます。
【EDR(Endpoint Detection and Response)】
パソコンやサーバ機、スマートフォン等の端末に対して挙動を監視します。
【NDR(Network Detection and Response)】
ネットワーク通信を監視して不審な挙動が無いか検知・監視します。
EDR/NDR両方を組み合わせることで多方面からの脅威に関して防御することが可能となります。
組織・運用対策
取引先との契約に関して事前にセキュリティ条項を明記して必要なセキュリティを共有します。
セキュリティ評価(セキュリティチェックシート)を導入して対策が万全かチェックします。
そのほか、情報資産に対してアクセス権限は必要最低限のメンバに限定します。
人的対策
自社・取引先含め協力関係のある企業全てに対してセキュリティ教育の実施が推奨されます。
自社・取引先含め協力関係のある企業全てに対してセキュリティ教育の実施が推奨されます。