ますます複雑化する地政学的状況の中、サプライチェーンのセキュリティはますます懸念されています。多くの組織は、システム管理や製品の開発、製造、配送において、多くの場合、複数の国にまたがるサードパーティと連携しています。しかし、これはサプライチェーンの脆弱性が企業の事業運営に影響を与える可能性のある真の脅威であることを意味します。企業がOpen AIやMetaなどのクラウドサービスへの依存度を高めている現在、この問題は特に深刻化しています。これらのサービスはいずれも重大な脅威をもたらす可能性があります。
多くの国が安全性の高いサプライチェーン管理を国家課題に掲げ、これらの重要なグローバルネットワークの整合性を確保するための勧告や法律を制定しています。しかし、多くのビジネス機能がオンラインやクラウドで管理されている場合、サプライチェーンを効果的に管理する責任は依然として企業にあります。
今日のビジネス環境において最も重要なサプライチェーンの脆弱性と、これらのリスクを軽減する方法を見てみましょう。
サプライチェーン攻撃とは?
サプライチェーン攻撃とは、攻撃者がサプライチェーンの脆弱性を悪用して組織のネットワークに侵入する特定のサイバー脅威です。ほとんどの企業はサードパーティベンダーと連携する必要がありますが、これらの外部サプライヤーは、自社システムに統合するために会社から機密データを要求することがよくあります。ベンダーがセキュリティ上の問題があるた場合、そのすべての顧客、つまりベンダーと取引のある企業もデータ侵害の被害に遭う可能性があります。
サプライ チェーン サイバー攻撃の種類
サプライ チェーン攻撃は、攻撃者がサプライ チェーンのどこで、どのように企業をターゲットにするかに応じて、さまざまな形で発生する可能性があります。サプライ チェーン攻撃の例:
- マルウェア: 多くのサプライ チェーン攻撃は、ウイルス、ランサムウェア、およびその他の悪意のあるソフトウェアによって実行されます。
- フィッシング攻撃:ソーシャル エンジニアリング手法を使用して企業の従業員を操作し、機密データやユーザーの資格情報を明らかにさせる場合があります。
- 分散型サービス拒否 (DDoS) : DDoS 攻撃は、大量のトラフィックで組織のネットワークをブロックし、サプライ チェーンを停止させる大きな混乱を引き起こします。
- サプライヤーの侵害: このインスタンス、企業のサプライヤー ネットワークの低を狙うことで、サプライ チェーンのセキュリティがセキュリティ上の問題がある。
- サプライヤー詐欺: 信頼できないベンダーが、サプライ チェーンのセキュリティがセキュリティ上の問題がある製品やサービスを提供する場合があります。
- ソフトウェアの改ざん:
- データ操作:攻撃者が企業のサプライチェーン内のデータを意図的に改ざんする行為。
- ネットワーク侵害:ベンダーと顧客間のネットワーク、または相互接続されたデバイスへの侵入。IoTデバイスやネットワークハードウェアも含まれる。
サプライチェーンの脆弱性
サプライチェーンがますます複雑化するにつれ、サプライチェーンにおけるサイバーセキュリティの課題も増大しています。今日、安全性の高いサプライチェーン管理において最も喫緊の課題をいくつかご紹介します。
- 政治的または財政的な依存、あるいは自然災害の影響によるベンダーのパフォーマンス低下。
- 需要を正確に予測できないことに起因する複雑な需要計画。
- 世界的な熟練労働者不足(特にサプライチェーンのセキュリティ監視とベストプラクティスの理解が重要)。
- インフレ率の上昇と価格の予測可能性を伴う不安定な経済状況は、サプライヤーとの交渉や在庫の効率的な管理を困難にしています。
- 世界的および地域的な制裁や規制の網をくぐり抜けるのは困難です。
- 地政学的緊張はサプライチェーンを混乱させたり複雑化させたりする可能性があります。
- ベンダーの環境、社会、ガバナンス(ESG)への取り組みが不十分であることによる評判の低下の可能性。
- 気候変動による自然災害の可能性。
- サプライヤーや組織におけるクラウドなどのデジタルテクノロジーへの過度の依存に起因するサイバーリスクの増大。
従業員とサプライチェーンの脆弱性
企業にとって、サプライチェーン攻撃防止において従業員は重要な防御線となるべきです。従業員は、企業の機密データや、そのデータへのアクセスを許可するログインID資格情報にアクセスできる可能性があります。そのため、一部のサプライチェーン攻撃は従業員を標的とし、無意識のうちに攻撃ベクトルへと転化させます。これらの攻撃では、フィッシングメールやソーシャルエンジニアリングを用いてサードパーティサプライヤーのネットワークにアクセスし、標的企業のネットワークに侵入することがよくあります。
そのため、企業、そしてサプライチェーン内で活動するサプライヤーは、従業員がサプライチェーンセキュリティのベストプラクティスを理解していることを確認することが不可欠です。これは、会社とその顧客を保護することにつながります。
多くの企業は、サプライチェーンレジリエンス戦略の一環として、厳格な従業員意識向上トレーニングプログラムを実施しています。これには、次のような内容が含まれる場合があります。
- サプライチェーン攻撃の仕組みを示す実例、
- 一般的なフィッシング詐欺やソーシャルエンジニアリングの手法、
- 学習を促進するためのインタラクティブなトレーニング、
- マルウェアなどの具体的な脅威、
- 従業員が誰がどのデータにアクセスできるかを把握するためのアクセスコントロールの実装、
- セキュリティ要件の設定や定期的な監査の実施など、サードパーティサプライヤーと安全に連携する方法の学習。
- 本人確認を含む機密データを適切に管理・共有する方法。
- 安全性の高い通信手段の重要性。
カスペルスキーは、サプライチェーンのサイバーセキュリティに関する従業員の意識向上に役立つトレーニング プログラムやツールを複数提供しています。たとえば、Kaspersky Security Awarenessツールは従業員のサイバーセキュリティスキルを評価し、カスペルスキーAutomated Security Awareness Platformはフィッシングなどのサイバー脅威の緩和や風評被害の防止に関する貴重な知識を提供します。
サプライチェーン セキュリティを実現するための重要な手順
企業が社内のセキュリティ チェーンのセキュリティを強化するために実行できるさまざまな方法があります。以下は、最も推奨されるアクションの一部です。
- ハニートークンを実装します。ハニートークンは、攻撃の際におとりとして機能し、侵入の試みを組織に警告します。
- 堅牢なクラウド セキュリティソリューションを使用します。
- 効果的な特権アクセス管理フレームワークを使用して、ネットワークを横方向に移動して特権アカウントを見つけて機密データにアクセスするという一般的な攻撃シーケンスを防止します。これには、サードパーティの漏洩の検出、個人情報アクセス管理の実装、すべての内部データの暗号化が含まれます。
- フィッシング詐欺、ソーシャル エンジニアリング、DDoS 攻撃、ランサムウェアなどの一般的なサプライチェーン セキュリティの脅威についてスタッフを教育します。
- 接続リクエストが厳格な評価に合格した後にのみ知的財産へのアクセスを許可するゼロ トラスト アーキテクチャを実装します。これはリモート ワークにも役立ちます。
- 潜在的な内部脅威を特定し、軽減します。困難ではありますが、従業員の定期的なエンゲージメントとオープンな職場文化は、従業員が敵対的になり悪意のあるを持つようになる前に会社全体の問題を特定するのに役立ちます。
- サプライヤーと話し合い、潜在的な攻撃ベクトルをマッピングすることで、脆弱なリソースを特定します。
- 特権アクセスを最小限に抑えて機密データへのアクセスを制限し、機密データにアクセスできるすべての従業員とベンダーを記録します。
- 契約でデータアクセスと使用の標準と要件の概要を規定することにより、ベンダーが社内セキュリティ対策を講じていることを確認します。ベンダーがデータ侵害を受けた場合は組織に通知する必要があることを明示的に規定します。
- 潜在的なサプライチェーンの脆弱性を軽減するために、サプライヤーを多様化します。
- データ侵害は避けられないものと想定し、従業員、プロセス、デバイスを侵害から保護します。これには、ウイルス対策ソフトウェア、多要素認証、攻撃対象領域監視ソリューションの使用が含まれます。
- 世界的な労働力不足がサプライチェーンにどのような影響を与えるかを理解し、これに対するサプライチェーンのレジリエンス戦略を見つけます。
合法化とサプライチェーンのセキュリティ
サプライチェーンの考慮事項のほとんどは企業に焦点を当てていますが、多くの政府が注目しており、国家レベルのセキュリティ対策を実施しています。これは、サプライチェーンの問題が国家に大きな影響を与える可能性があるためです。
以下は、サプライチェーンのセキュリティ強化に向けて各国がどのように動いているかの概要です。
EU
EUは、新しいNIS2指令により、安全性の高いサプライチェーン管理の推進に取り組んでいます。この指令では、サプライチェーンのセキュリティ強化のための3つのメカニズム、すなわち、EUレベルでの協調的なリスク評価、加盟国の国家レベルでの国家リスク評価、企業の内部リスク評価が概説されています。
NIS2指令を遵守するには、企業に次のことが求められる場合があります。
- サイバーサイバーセキュリティ慣行を含め、各サプライヤーの脆弱性を考慮する。
- 第22条(1)に概説されているように、重要なサプライチェーンのリスク評価を実施し、さらに重要なこととして、その結果をアカウント。加盟国/企業がこれを怠った場合は、金銭的な罰則が科せられる可能性があります。
- 重要なオペレーターのリストを作成およびアップデート、指令の要件に準拠していることを確認します。
- 国家のサイバーセキュリティ戦略を理解します。
- インターネット対応資産を監視できるEUのCSIRTネットワークの範囲を理解します。
- 指令がデータストレージおよび処理ソフトウェアプロバイダー、サイバーセキュリティ管理、およびソフトウェアエディターに重点を置いていることに留意します。
- リスクを特定し、適切な軽減策を実施します。
- インシデントを報告するための明確なプロセスを確立し、タイムリーに報告する
- サプライヤーと協力し、サイバーセキュリティリスクを特定・軽減する。
- サプライヤーとサプライチェーンセキュリティに関する期待値を設定し、コンプライアンスのための定期的な監査を実施する。
英国
英国は、特にサプライチェーンにおけるサイバーセキュリティを重視しています。国立サイバーセキュリティセンターは、サイバー脅威の緩和戦略を概説したサイバー評価フレームワークを作成しました。フレームワークのクラウドセキュリティガイダンスの原則8では、特に攻撃に対して脆弱なサプライチェーンセキュリティのベストプラクティスとクラウドサービスについて言及しています。
ここでのアドバイスでは、企業が次のことを理解することが推奨されています。
- データがベンダーと共有され、使用される方法
- 顧客データがこれに含まれていないかどうか
- ベンダーのハードウェアとソフトウェアに適切なセキュリティ対策が施されているかどうか
- サプライヤーのリスクを評価する方法
- ベンダーに対してセキュリティコンプライアンスを実施する方法
上記を確実にするために、政府のガイダンスでは、クラウドサービスを使用する際に、次のものを含め、いくつかの実装アプローチを提案しています。
- サードパーティのIaaSまたはPaaS製品上に構築される可能性のあるクラウドサービスの分離を理解する。
- 特にサードパーティのサービスを利用する場合は、リスク評価を行う際にデータの機密性を考慮する必要があります。
- サードパーティのサービスがデータ共有関係をどのように説明しているかを確認し、それがGDPRに準拠していることを確認します。
サプライチェーン攻撃を防ぐためのベストプラクティスのヒント
サプライチェーンのセキュリティ脅威を完全に排除することはできませんが、特にベンダーに注意を払うことでリスクを軽減する方法はあります。組織にとって役立つ対策としては、
- サードパーティベンダーのサプライチェーンリスク評価を定期的に実施し、監視することです。
- サプライチェーン攻撃につながる可能性のある第三者によるデータ侵害や漏洩を特定し、その影響を軽減します。
- 各サプライヤーのリスクプロファイルを概説し、脅威のレベル/種類ごとにサプライヤーをグループ分けします。
- 脆弱性、データへのアクセス、ビジネスへの影響度に基づいてベンダーをランク付けします。
- アンケートや現地訪問を通じてサプライチェーン管理を評価します。
- ベンダーのシステム内の脆弱性を特定し、改善を求めます。
- ベンダーが提供する製品とサービスのセキュリティを評価します。
Kaspersky Kaspersky Hybrid Cloud Securityなどのセキュリティ上の問題がないセキュリティおよびウイルス対策プログラムを使用することも、サプライチェーンの第一線での防御策の一部となります。
関連記事:
関連製品:
