FFRI Security BLOG

サプライチェーン取引で求められるサイバーセキュリティとは

IPA(情報処理推進機構)の情報セキュリティ10大脅威が1月下旬に発表されました。組織の情報セキュリティの脅威は、2019年に引き続き「サプライチェーン攻撃」が4位にランクインをしています。

情報セキュリティ10大脅威 2020

サプライチェーンの弱点を悪用した攻撃

サプライチェーンの弱点を悪用した攻撃

原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる複数の組織群をサプライチェーンと呼ぶ。また、組織が特定の業務を外部組織に委託している場合、この外部組織もサプライチェーンの一環となる。業務委託先組織がセキュリティ対策を適切に実施していないと、業務委託元組織への攻撃の足がかりとして狙われる。昨今、業務委託先組織が攻撃され、預けていた個人情報が漏えいする等の被害が発生している。

出典:情報セキュリティ10大脅威 2020

3月10日には、「情報セキュリティ10大脅威 2020各脅威の解説資料」がIPAより公開されました。その中で「サプライチェーンの弱点を悪用した攻撃」について詳しく書かれています。
サプライチェーン攻撃が組織の脅威としてランクインしている理由としては、次の3つが挙げられています。
①委託先組織のセキュリティ対策不足
②委託先組織を適切に選定、管理していない
③再委託先や再々委託先の管理が難しい
最近では国内でもサプライチェーン攻撃による被害が発生しており、どのレベルでセキュリティ対策を施しているかが取引の必須条件として認識されていくと予想されます。実際にアメリカや欧州では既に関連法案が施行されるなど、世界中でそうした動きが見え始めています。

しかし、IPAの報告書(「IT サプライチェーンにおける情報セキュリティの責任範囲に関する調査」)によると、約8割が「専門知識やスキルの不足」からそうした責任範囲を明確にすることができないとしています。対応策として、受注可否の判断をする社内の受注審査や、契約関連文書のひな形にあらかじめそういった記載を盛り込むなどサイバーセキュリティ対策が契約の可否に影響を与える可能性が高まっていると思われます。

サイバー攻撃による企業活動への具体的な被害は、「株価平均10%下落」「純利益は平均21%減少」するとされています(出典:独立行政法人 情報処理推進機構「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集」2019年3月発行。業績に大きな影響を与えてしまう問題だけに、これからは自社のセキュリティだけでなく、取引先のセキュリティ体制にも気を配る必要があります。逆に言えば、充分なセキュリティ対策が出来ていなければ、取引に支障をきたす可能性があるという事です。

サプライチェーン攻撃などの近年のサイバー脅威は、従来のウイルス対策ソフトでは検知できない未知のマルウェアが利用される傾向があります。これまでの対策に加え、未知のマルウェアが防御可能な次世代エンドポイントセキュリティで強固な対策を図ってはいかがでしょうか。
標的は中小企業!? サプライチェーン攻撃

サイバー攻撃を受けるのは、大手企業や官公庁ばかりではありません。
サイバー攻撃/狙われるのは誰?サプライチェーン攻撃とは。

サプライチェーン攻撃の仕組みを図解しています
業務停止を引き起こすサプライチェーン攻撃とは

2020年に入り、大手電機メーカーにサプライチェーン攻撃とみられる不正アクセス事件が公表されました。
国内大手企業にサプライチェーン攻撃

2020-05-13

FFRI yarai3.3

関連記事 Related Post

次世代エンドポイントセキュリティ Next-generation endpoint security

特集 Special Contents

テレワーク導入時に検討すべき次世代エンドポイントセキュリティとは

お問い合わせ Contact Us

メールマガジン Mail Magazine

エンジニアブログ For Engineer

最近の記事 Recent Post

人気の記事 Popular Post

アーカイブ Achive

pagetop