目次
サプライ チェーン セキュリティとは、サプライチェーン管理の一部であり、外部サプライヤー、ベンダー、再販業者、物流、輸送機関がもたらす脅威に対処します。これらの脅威には、標的組織よりも防御力が弱いとされる第三者を標的とした物理的な攻撃やサイバー攻撃が含まれます。
サプライ チェーン セキュリティの考え方
サプライ チェーン セキュリティにおいて、リスク管理は重要な要素であり、インシデントによる潜在的な影響の特定、分析、軽減に役立ちます。また、テクノロジーおよび物理的なセキュリティ対策も、サプライ チェーン セキュリティを支える基盤となる要素です。
サプライ チェーンにおけるサイバー セキュリティは、サプライ チェーン セキュリティの一分野です。これには、使用されるITシステム、ソフトウェア、ネットワーク、およびそれに関連する管理統制が含まれます。
サプライ チェーン セキュリティ ソリューションは、サプライ チェーンを標的にする脆弱性や脅威に対応できるよう最適化されています。
サプライ チェーンを守るための具体的なセキュリティ手法
ITセキュリティのソリューションやプロセスに加えて、サプライ チェーン セキュリティに焦点を当てて、以下の対策も活用する必要があります。
実践方法 | 概要 |
|---|---|
アタック サーフェスの監視 | サード フォースパーティを含むネットワーク全体の脆弱性を監視し、リスクを特定する。 |
データの暗号化 | 保存、転送時を問わず、すべてのデータを強力な暗号で保護する。 |
アイデンティティ アクセス管理 | 最小権限の原則に基づき、必要最小限のアクセス権のみを付与する。 |
ネットワーク セグメンテーション | ネットワークを信頼レベルごとに分割し、情報の隔離と移動制限を実現する。 |
ペネトレーション テスト | アプリや従業員などを対象に、手動、自動の侵入テストで防御力を確認する。 |
ソフトウェア構成分析(SCA) | コード内の脆弱性やバックドアの有無を可視化、監視するツールを導入する。 |
セキュリティ監査 | 自主、現地監査を通じて、継続的にセキュリティ体制と脆弱性を評価する。 |
脆弱性スキャン | 既知、未知の脆弱性を定期的にスキャンし、検出と対応を迅速化する。 |
それぞれ解説します。
アタック サーフェス(攻撃対象領域)の監視
アタック サーフェスの監視は、サード パーティに関連するセキュリティ リスクの特定に役立ちます。これには、クラウド ソリューション全体にわたって存在する、サードパーティおよびフォース パーティのネットワークにおけるセキュリティ脆弱性も含まれます。
データの暗号化
データの保護には、強力な暗号化を常に使用する必要があります。保存時は保存場所を問わず、転送時も転送方法に関係なく、暗号化が求められます。
アイデンティティ アクセス管理
堅牢なアクセス制御は、最小権限の原則に従う必要があります。サプライ チェーン セキュリティのプロトコルでは、業務の遂行に必要な最小限の権限のみをユーザーに付与することが求められます。
ネットワーク セグメンテーション
ネットワークは、目的や信頼レベルに基づいて論理的に分割する必要があります。これにより、機密情報の分離やネットワーク間におけるラテラル ムーブメントの防止が可能になります。
ペネトレーション テスト
サプライ チェーン セキュリティのシステムおよびプロセスは、定期的に自動および手動によるペネトレーション テストを実施する必要があります。テストの対象には、アプリケーション、ITインフラ、従業員(模擬フィッシング攻撃など)に加え、脅威への対応戦術も含める必要があります。
ソフトウェア構成分析(SCA)
SCAツールは、アプリケーションのコードを可視化し、サプライ チェーン セキュリティの脆弱性や潜在的なバックドアを監視するために使用されます。
セキュリティ監査
サプライ チェーン セキュリティの評価と脆弱性の特定を目的として、継続的な監査が実施されます。これには、自己主導型の監査と現地での監査の両方が含まれる場合があります。
脆弱性スキャン
脆弱性スキャンは、既知および未知の脆弱性を検出するために使用されます。脆弱性スキャンを定期的に実施することで、脅威の検出と対応を迅速化し、サプライ チェーン セキュリティに関わるリスクを最小限に抑えることができます。
複雑化するグローバル サプライ チェーン
グローバル サプライ チェーン セキュリティとは、サプライ チェーン セキュリティを発展させた概念で、国際取引に特有の複雑な課題を考慮したものです。国境を越えた取引では、自然災害、地政学的脅威、事故、悪意のあるデジタルおよび物理的なインシデントなど、セキュリティを脅かし業務を混乱させるさまざまなリスクが高まる傾向があります。
企業が直面するサプライ チェーン セキュリティの課題
あらゆる規模の組織が、サプライ チェーン セキュリティ侵害のリスクにさらされています。こうしたセキュリティ上の問題を引き起こす要因には、次のような課題が挙げられます。
脅威の名称 | 概要 |
|---|---|
休眠状態のバックドア | 攻撃時に仕込まれたバックドアが検知されず残り、後に悪用される可能性がある。 |
アプリケーションコードの欠陥 | サードパーティ製コードの脆弱性が攻撃者に悪用され、システム侵害のリスクとなる。 |
サードパーティに対する把握不足 | 管理状況が不透明なサードパーティを保護できず、セキュリティリスクが発生する。 |
サードパーティへのアクセス権の過剰付与 | 不要な権限の放置により、不正アクセスや侵害の足がかりとなる可能性がある。 |
侵害されたサプライチェーンパートナー | 一社が侵害されると他の関係先も連鎖的にリスクにさらされる。 |
不適切なデータ保護対策 | データの暗号化や管理が不十分な場合、機密情報が漏洩する恐れがある。 |
それぞれ解説します。
休眠状態のバックドア
サプライ チェーン セキュリティ システムによる検知を逃れるために、サイバー犯罪者はマルウェア攻撃の際にバックドアを仕込み、それを将来のために残しておくことがあります。セキュリティ チームは攻撃への対応に気を取られ、バックドアの存在に気付かないまま、後日それが悪用されるのです。
アプリケーション コードの欠陥
アプリケーションは、サプライ チェーン セキュリティに対するリスクとなります。現在のアプリケーションは、多数のサード パーティ製コンポーネントを利用して開発されることが一般的で、開発者がコード全体を完全に把握できることはまれです。攻撃者は、アプリケーション内部に潜む脆弱性を悪用して、セキュリティを侵害し、システムやネットワークへの不正アクセスを行うことがあります。
サード パーティに対する把握不足
適切な制御体制が整っていなければ、組織はサード パーティによるITリソースの管理状況を把握できません。こうした状況は重大なリスクを招きます。なぜなら、どれほど優れたサプライ チェーン セキュリティ ソリューションであっても、把握できていない対象を保護することはできないからです。
サード パーティに対するアクセス権の過剰付与
サプライ チェーン セキュリティにおける一般的な弱点のひとつが、サード パーティに対して過剰なアクセス権を付与してしまうことです。多くの組織はサードパーティにシステムへのアクセスを許可していますが、その権限が過剰になるケースが多く、不要になってもそのアクセス権を取り消していないことがあります。
サプライ チェーン セキュリティが侵害されたパートナー
サプライ チェーン セキュリティは、最も脆弱な関係先と同じ程度の強さしか持ちません。ひとつのパートナーが侵害を受けるだけで、他のすべての関係先がリスクにさらされます。一度侵害されれば、規模の小さなパートナーであっても、他の関係先の環境への侵入口としてサイバー犯罪者に悪用されかねません。
不適切なデータ保護対策
データの使用、保存、保護において組織が適切な管理を行わない場合、機密データが漏洩する可能性があります。サプライ チェーン セキュリティがすべての機密データに対して適用されていなければ、それらは侵害のリスクにさらされることになります。
サプライ チェーン セキュリティを守るためのベスト プラクティス
テスト ラボの構築
テスト ラボを活用して、ハードウェアやソフトウェアに潜む脆弱性を洗い出します。
インシデント対応計画の策定と維持
サプライ チェーン セキュリティに関するインシデントが発生した場合に備え、迅速かつ効果的に対応できる体制を整えておくことが重要です。全社横断のチームと連携し、サード パーティおよびフォース パーティを含むサプライ チェーン全体を考慮した脅威対応計画を策定します。この計画には、具体的な対応内容、その実施順序、各対応における担当チームおよび責任者を明記しておく必要があります。
DevSecOpsの実装
サプライ チェーン セキュリティを最適化するには、開発のあらゆる工程にDevSecOpsのベスト プラクティスを統合することが重要です。セキュリティを優先し、開発ライフサイクルの初期段階で潜在的な問題に対応することで、アプリケーションが本番環境に投入され、攻撃の標的となる前にセキュリティを強化できます。
脅威ハンティングの実施
未知の脆弱性を積極的に調査し、システムへの不正アクセスを引き起こしたサプライ チェーン攻撃を特定します。
サードパーティ リスク管理の優先化
サプライ チェーン セキュリティ上のリスクに重点を置いたリソースを投入し、サードパーティ リスク管理を優先事項として位置付けます。これには、ベンダー、サプライヤー、契約社員、その他のビジネス パートナーとの関係から生じる可能性のあるリスクを継続的に監視・分析する取り組みも含める必要があります。
ブロックチェーンの活用
ブロックチェーン システムは、サプライ チェーンに信頼性、透明性、そしてトレーサビリティをもたらします。ブロックチェーンを活用することで、真正性が保証され、サプライ チェーン セキュリティの強化や不正の防止につながります。
まとめ
サプライ チェーン セキュリティは、セキュリティ全体を補完するものとして、企業にとって優先度の高い項目に含める必要があります。サプライ チェーン セキュリティの欠如による波及効果は計り知れず、業務の中断、収益の損失、信用の失墜、不正な製品の流通にまで及ぶ可能性があります。
広範にわたるサプライ チェーンにおけるセキュリティは本質的に脆弱で、こうした状況には十分な注意と、複雑なセキュリティ要件の微妙な違いに対応できる専用のソリューションが求められます。そして、これらの対策は確かな成果を生み出します。サプライ チェーン セキュリティに的を絞ってリソースを投入することで、セキュリティ侵害の回避やセキュリティ全体の強化につながり、投資に対して指数関数的なリターンが得られます。
