2019/11/5

「情報セキュリティ10大脅威2019」を読み解く(4)
サプライチェーンの弱点を悪用した攻撃の高まり

「情報セキュリティ10大脅威 2019」は、独立行政法人情報処理推進機構（以下 IPA）が選出した2018年において社会的な影響が大きかったと考えられる情報セキュリティ上の脅威について、情報セキュリティ分野の研究者、企業の実務担当者など約120名で構成される「10大脅威選考会」が審議・投票し、「個人」「組織」における脅威を1位から10位まで順位づけしています。

情報セキュリティ10大脅威 2019（組織編）
※NEW 初めてランクインした脅威

IPA　情報セキュリティ脅威2019:
https://www.ipa.go.jp/security/vuln/10threats2019.html#download

本コラムでは、「情報セキュリティ10大脅威 2019」の組織部門で4位にランキングされた、「サプライチェーンの弱点を悪用した攻撃の高まり」についてご紹介します。

サプライチェーンの弱点を悪用した攻撃の高まりとは？
サプライチェーン攻撃の事例
鎖は一番弱い輪以上に強くなれない
サプライチェーンの弱点を悪用した攻撃の高まりへの対策は？
ゼロトラストの視点で見直してみる

サプライチェーンの弱点を悪用した攻撃の高まりとは？

独立行政法人情報処理推進機構（IPA）が発表した「セキュリティ10大脅威 2019組織編」では「サプライチェーンの弱点を悪用した攻撃の高まり（「サプライチェーン攻撃」とも呼ばれます）」は、前年も一昨年も登場しておらず、急速に脅威が上がっている攻撃です。

サプライチェーン攻撃は、セキュリティ対策が強固なターゲット企業を直接狙わず、セキュリティ対策の手薄なグループ会社、業務委託先、取引先企業などを経由してターゲット組織へ攻撃する手法です。

「サイバーセキュリティ経営ガイドラインVer 2.0」（※１）では、経営者が認識すべき３原則のうちの１つに「自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要」と書かれていて、その重要性が強調されています。企業の経済活動は、グループ会社や取引先だけでなく、クラウド利用まで考えれば、今や社外のリソースに大きく依存しています。しかしその信頼性について十分に確認されてない事から、情報漏洩事件にまで繋がるケースが出始めています。

サプライチェーン攻撃の事例

2014年に米国のスーパーマーケット大手チェーンT社が24,000万件のカード情報及び7,000万件の個人情報を流出しましたが、これはT社に空調機器システムを提供していた業者のネットワークから内部のPOSネットワークに侵入されたことによるものです。また2016年に679万件の個人情報を流出した旅行代理店大手J社のケースは、取引先になりすました攻撃者からのメールに添付されていた航空券eチケットファイルを開封し、業務用パソコンが遠隔操作型のマルウェアに感染したことが原因とされています。2018年には英国の航空会社大手B社がMagecartと呼ばれる国際ハッカー集団の攻撃を受けました。ハッカーはWebサイトとモバイルアプリケーションが外部参照していたJavaScriptライブラリ「Modernizr」を不正に入替える、いわゆるソフトウェアサプライチェーン攻撃を仕掛け、38万人以上のカード情報を窃取する事に成功しました。（※２）

鎖は一番弱い輪以上に強くなれない

大きな組織では関係のあるサプライチェーンに連なる企業数は膨大です。こうした企業がセキュリティ対策を適切に実施しているかを管理できなければ、将来的に大きな情報漏洩事件につながる可能性があるのです。

例えば、米国国防総省へ防衛装備品を収めるサプライヤーにはNIST SP800-171の定めるセキュリティ対策基準への対応を求めています。また日本でも防衛省で、SP800-171相当のセキュリティ対策を求める新防衛調達基準の導入が検討されています。2018年2月8日付け日本経済新聞によると、関連する企業は、戦闘機と戦車がそれぞれ約1,000社、護衛艦にいたっては約7,000社とされていますので、当然、防衛省への直接納入業者だけでなく、何段階ものサプライチェーンに対して新防衛調達基準を求めるものと考えられます。

セキュリティの観点では、基準を満たしているかサプライチェーンの企業を定期的に監査する事も有効ですが、大きな組織では人的負荷がかかり過ぎて、あまり現実的な選択肢ではありません。そこで自社のセキュリティガイドライン（あるいはNIST SP800-171、PCI DSS等）に基づくチェックシートで、サプライチェーンの信頼性を定期的に評価する手法を採用する組織も増えてきています。

「鎖は一番弱い輪以上に強くなれない」は、シャーロックホームズシリーズ「恐怖の谷」での有名な台詞ですが、チェーンの強度は一番弱い輪と同じになるということを意味しています。この考え方はサプライチェーン管理でも同じです。いかにサプライチェーンに連なる組織（一番弱い輪）を適切にチェックするか、問題がある組織があれば、どう改善させていくのかをきちんとプロセス化できるかが重要なのです。

サプライチェーンの弱点を悪用した攻撃の高まりへの対策は？

それでは、サプライチェーン攻撃への対策はどう考えれば良いのでしょうか？

外部委託企業の選定基準や業務委託契約で、NISTやPCI DSS等の業界の最良事例（ベストプラクティス）順守又は同等な管理状態を維持することを求めるのは重要です。しかし「個人情報を漏洩しないように適切に管理していますか？」といった簡易なセキュリティ質問票を契約前、あるいは年1回程度提出させているのでは、サプライチェーンを適切に選定、管理しているとはいえません。

こうした企業は、サプライチェーン企業（グループ会社含む）との契約内容を再確認する事から始めるべきかもしれません。例えば個人情報管理、重要情報の取扱い、事故が発生した際の対応や損害への補償、外部監査権の有無等、自社のセキュリティ基準や業界の最良事例（ベストプラクティス）と見比べてみて、不十分なところがあれば契約内容を再検討すべきではないでしょうか。

ゼロトラストの視点で見直してみる

少し前のセキュリティ対策のトレンドは、ハッカーを企業の内側のネットワークに入れない様に、ネットワークを閉域網（高い城壁）で囲い、FWやIDS/IPS（門番）を境界線（正門）に配置する「境界線管理」が主流でした。

「境界線管理」は、今でも重要なセキュリティ対策の１つではありますが、あらゆるものがネットワークに繋がる現代社会では、安全と思われていた閉域網（城壁）に、サプライチェーンの企業との外部接続ネットワーク（勝手口）が作られていたり、バックアップ目的でクラウドにつなぐネットワークや、外部のメンテナンス会社が管理のために入ってくるネットワーク（裏口）があったりするので、これだけで十分ではなくなりつつあります。

境界線（正門）以外を適切に守るためには、サプライチェーンとの通信は、例えグループ会社やビジネスパートナーであっても信頼せずに（ゼロトラスト）、彼らの通信を詐称する第三者ではないか？との疑いの目で、その通信をすべて検証（認証）することも重要になってきます。

ゼロトラストの設計思想が必要なのは、ネットワークへの接続だけでなく、サプライチェーン企業のセキュリティ体制や、自社のセキュリティ基準（外部委託先管理規定等）も含まれます。こうしたゼロトラストの視点で各々のプロセスを見直すことで潜在的な脅威を極小化していく、これこそがサプライチェーン全体を“強い輪”にすることにつながるのではないでしょうか。

参考：
※1　サイバーセキュリティ経営ガイドラインVer 2.0
https://www.meti.go.jp/policy/netsecurity/mng_guide.html 　　
※2 British Airwaysの情報流出、Ticketmaster事件のハッカーグループが関与か
https://japan.zdnet.com/article/35125475/

情報セキュリティコラム一覧:
https://www.dnp.co.jp/biz/theme/security/index.html