「第6回:突然、セキュリティ担当者に指名されたら?」はこちら>
「第7回:「暗号化」すれば安心?」はこちら>
「第8回:クラウド利用時のセキュリティ確保」はこちら>
「サプライチェーン攻撃」とは?
通常、「サプライチェーン攻撃」とは次の手法を指します。――部品の調達を担う下請企業や、製品の在庫管理、物流/販売に関する企業・取引先などのシステムに脆弱性がある場合、当該システムを攻撃し、そのシステムから企業などにサイバー攻撃を行う――。
しかしながら昨今では多様化が進み、取引先や関連会社を経由する「ビジネスサプライチェーン攻撃」、ソフトウェア開発やシステム保守・監視を担う企業を経由する「ソフトウェアサプライチェーン攻撃」「サービスサプライチェーン攻撃(デジタルサプライチェーン攻撃)」など、細分化しています(「ソフトウェアサプライチェーン」のセキュリティについては次回お話しします)。
子会社やグループ企業なら、自社と一体化した保守・管理やセキュリティ対策を実施できるでしょう(グループ企業まで含め統一的なセキュリティポリシーを定め、同一のCSIRTで対処している企業はまだ少ないようです。大企業でも現状では、工場などや事業部単位でポリシーがバラバラというところがあるようです)。
保守管理業務を外部委託していても、自社サイトが攻撃の踏み台に悪用されるケースもあります。自社内の端末保守やシステム更新作業を保守担当業者が行った際に、マルウェアに汚染された電磁的記録媒体を利用したために感染を拡大させた、という事例も昔から多く、注意が必要です。
昔、警察庁にいた頃、「重要インフラ訪問」という形でミッションクリティカルな業務を担う事業者を訪問する機会がありましたが、「セキュリティ対策の徹底」をお願いすると「基幹系のセキュリティ確保や業務継続は万全です」と回答される企業が多かったように記憶しております。やはり主要事業の中核で稼働する基幹系システムの運用管理には自信を持たれているようでした。
一方で、Web経由での顧客からの予約や注文、問い合わせに対応するためのシステムや物品調達などのシステムに関しては、構築や運用管理を外注している企業が多いせいか、セキュリティ対策を重視されていないのではないか? と感じることも何度かありました。
現在導入されているクラウドサービス自体が、膨大な量のWeb DDoS、ランサムクラウドなどのサイバー攻撃を受けることもあり得ますし、データセンターで障害が発生すると、注文を受理できない、顧客情報が消滅する、などの事態も発生します。復旧に時間がかかれば、自社の企業イメージ低下を招くおそれがあります。
「基幹系システムはインターネットと接続していないので安心だ」として、いつまでも古いPCやOS、その上でしか稼働しないアプリを利用し続けている企業もあるかもしれません。「ロックダウン(ホワイトリスト※)型セキュリティ対策ソフトを利用しているから大丈夫」と思われるかもしれませんが、マルウェア対策の定義ファイルを適切に更新すること、システムの保守や更新を的確に行うことが大切です。
※「使用してよい」と判断した安全なアプリケーションやプログラムを定義したリスト。
サプライチェーン攻撃の防御
「サプライチェーン攻撃」の目的は、企業の機密データや顧客情報の奪取、当該企業やグループ企業の業務停止、その結果としての企業のイメージダウンなどさまざまです。単に不正アクセスなどを防御すればよい、というわけではありません。
製造過程だけでなく、Webによる部品調達・製品販売管理など業務の全工程に関係するシステムの脆弱性を調査して最新のものに更新するとともに、従業員教育の徹底も重要です(※)。
※ セキュリティ対策の従業員教育においては、以下のガイドラインをご参考されたい。「サイバーセキュリティ経営ガイドラインVer2.0」(経済産業省、IPA:独立行政法人情報処理推進機構)、「CSF(Cyber Security Framework)」「SP(Special Publications)800シリーズ」(NIST:アメリカ国立標準技術研究所)。
さらに重要なことは「そもそも攻撃されない」ための取り組みです。
近年、組織の外部からアクセス可能な IT 資産を発⾒し、脆弱性などのリスクを継続的に検出・評価する⼀連のプロセスASM (Attack Surface Management ※)やASRM(Attack Surface Risk Management)という手法が登場しました。インターネットに接続するすべてのIT資産を適切に管理し、サイバー脅威をあらかじめ洗い出して対処することで、組織のセキュリティを確保する取り組みです。インターネットにさらされる公開資産を狙った攻撃リスクを減らすため、資産の適切な把握や脅威の診断、対処の優先順位付けなどを行うソリューションも提供されています。
ただ、複雑なサプライチェーン全体を調査し評価することは難しい課題です。
「リモートで脆弱性診断(ペネトレ)をやればよいのでは?」と思われる人がいるかもしれません。組織やサービス全体を見渡し、各段階における脅威を事前に把握し、迅速に適切な対応がとれるよう、リスクを可視化してトータルでの「経済安全保障」につなげることが重要なのではないか、と思います。
経済安全保障の観点からは、開発・製造プロセスにおける技術データが流出しないよう防護することも大切です。サイバー攻撃のみならず、内部に入り込んだ侵入者が盗み出すことも想定した防御が重要です。
例えば、工場などで稼働している産業用制御システム(ICS:Industrial Control System)のセキュリティ強靭化を図るため、OT(Operational Technology)環境におけるセキュリティ対策の国際標準規格(IEC62443)が定められています。ここでは、ゾーン(zone)やコンジット(conduit)という、セキュリティ区画とその区画同士を接続するためのリンク(通信チャネル)を定義しています。
サイバー攻撃を受けたら、その被害を局所化する。内部に侵入した者が技術データを持ち出そうとしたら、アクセス可能な範囲を制限する。こうすることで被害を最小化する。サプライチェーン全体のセキュリティ対策を検討する際の参考になります。
第8回でお話ししたゼロトラストを実現する手法、ZTA(Zero Trust Architecture)の1要素に「マイクロセグメンテーション」があります。その目的は、被害を局所化し軽減を図ることです。マルウェアなどに内部ネットのシステムがすべて感染しないよう、横方向の移動(ラテラルムーブメント)を封じるというものです。
実際のオフィスにおいても、物理的なゾーン化は有効です。ネットワーク配線(LAN)のセグメント化はもちろん、仮想化したサーバやアプリ自体も細かく分割することで、マルウェアが全体に伝播することを防ぐとともに、被害が発生した際の対処や復旧を容易にすることが可能です。最近はフリーアドレス化を行うオフィスも増えてきているようですが、機密情報などを取り扱う部署では、的確な入退室管理システムや防犯カメラが整備されており、その履歴が確認できる、ということも情報保護の観点では重要な要素かもしれません。
「第10回:ソフトウェア開発のセキュリティと、DX推進で留意すべき規格・標準」はこちら>
羽室英太郎(はむろ えいたろう)
一般財団法人保安通信協会 保安通信部長(元警察庁技術審議官、元奈良県警察本部長)
1958年、京都府生まれ。1983年、警察庁入庁。管区警察局や茨城・石川県警などでも勤務、旧通産省安全保障貿易管理室(戦略物資輸出審査官)、警察大学校警察通信研究センター教授などを経験。1996年に発足した警察庁コンピュータ(ハイテク)犯罪捜査支援プロジェクトや警察庁技術対策課でサイバー犯罪に関する電磁的記録解析や捜査支援などを担当。警察庁サイバーテロ対策技術室長、情報管理課長、情報技術解析課長などを歴任し、2010年12月からは政府の「情報保全に関する検討委員会」における情報保全システムに関する有識者会議の委員も務めた。2019年より現職。著書に『ハイテク犯罪捜査の基礎知識』(立花書房,2000年)、『サイバー犯罪・サイバーテロの攻撃手法と対策』(同,2007年)、『デジタル・フォレンジック概論』(共著:東京法令,2015年)、『サイバーセキュリティ入門:図解×Q&A【第2版】』(慶應義塾大学出版会,2022年)ほか。
『サイバーセキュリティ入門:図解×Q&A』【第2版】
著:羽室英太郎
発行:慶應義塾大学出版会(2022年)
PDF形式のファイルをご覧になるには、Adobe Systems Incorporated (アドビシステムズ社)のAdobe Acrobat Readerが必要です。
