サプライチェーン攻撃への対応準備はできていますか？—サプライチェーンリスク管理が不可欠である理由

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第28回目となる今回は、「サプライチェーン攻撃への対応準備はできていますか？—サプライチェーンリスク管理が不可欠である理由」と題して、サプライチェーン攻撃のリスク、組織が自らを守る方法、そしてサプライチェーン攻撃によって組織が崩壊するリスクを減らす方法について説明する、Josue Ledesmaのブログ記事をご紹介いたします。

世界はかつてないほど相互につながっており、クラウドとデジタル技術によって企業はグローバルに繁栄し、成功することができるようになっています。しかし、このような相互接続関係にはリスクが伴います — パートナー、ベンダー、サードパーティが企業を暴露したり、悪意のあるハッカーがサプライチェーンを通じて組織を狙うことが知られています。その結果、サプライチェーンリスク管理は、企業のリスク管理やサイバーセキュリティ戦略の重要な要素となっています。

この記事では、サプライチェーン攻撃のリスク、組織が自らを守る方法、そしてサプライチェーン攻撃によって組織が崩壊するリスクを減らす方法について説明します。

様々なサプライチェーンパートナーに依存する際に注意すべき一般的なリスクはありますが、ここでは、SolarWindsとその顧客である世界の主要企業の多くに影響を与えた攻撃のように、お客様に影響を与える可能性のあるアクティブな攻撃に焦点を当てます。

SolarWinds攻撃は、多くの組織にとって目が覚める出来事でした。国が支援するハッキンググループが、フォーチュン500社の80％以上、連邦政府機関、数百の公立教育機関に対してインフラストラクチャーサービスを提供しているSolarWindsへの侵入に成功しました。

攻撃者は企業のネットワークに潜み、検知を逃れて情報を盗むことに集中しており、重要なサードパーティが、世界で最も成功している企業でさえも悪用可能な脆弱性のポイントになり得ることを浮き彫りにしました。これまで以上に、企業のサプライチェーンは、リスク管理戦略の一部でなければなりません。

サプライチェーンリスク

サプライチェーンリスク管理とは、サプライヤーが自社にリスクを与えていないことを確認し、サプライヤーが何らかの攻撃を受けたり、侵害されたり、その他の脅威や事故に遭った場合に、自社にもたらされる可能性のある脅威を管理することです。

サプライチェーンには様々な脅威が存在しますが、それらを把握することは、サプライチェーンを保護し、最悪の事態に備えて被害を軽減するための適切なプロセスを確保するために不可欠です。

クラウドベースのベンダーのリスク

クラウドの登場により、企業は、重要なものも重要でないものも、ビジネスプロセスの多くをクラウドベースのベンダーに依存することができるようになりました。例えば、コンテンツ管理システム、ソーシャルメディア管理、データベースのホスティングやサービスなどが挙げられます。

攻撃者は、これらの重要なベンダーを標的にすることで、多くの企業のデータやシステムへのアクセスが可能になることを知っています。しかし、悪意のある行為者が特にお客様のビジネスを狙っている場合は、重要度の低いベンダーを攻撃して、そのベンダーのセキュリティが不十分であることを知り、お客様のデータにアクセスする可能性があります。

オープンソースのリスク

ソフトウェアベンダーは、サービスを提供するため、あるいは適切に機能するために、オープンソースソフトウェアに依存しており、これがリスクとなっています。オープンソースソフトウェアとは、ソースコードが公開されていることを意味し、ソフトウェアにアクセスでき、低コストで、誰もがソースコードを改良できるようにする方法です。

これらは通常、コストを抑えながら俊敏性の向上やコミュニティの改善を可能にするメリットがありますが、一方で、悪意のある行為者がソースコードをくまなく調べて、自分たちが暴露できる脆弱性を見つけて悪用することも可能になります。脆弱性に気付いていないということは、攻撃を受ける可能性があるということです。

ハードウェア（バックドア）のリスク

リスクはデジタルだけではありません。防犯カメラ、プリンター、無線接続（モデムやルーターなど）を委託している会社もリスクがあります。ハードウェアには必ずと言っていいほど、デジタルやワイヤレスの要素が含まれており、組織の攻撃対象を広げています。

これらのハードウェアデバイスが、パスワードがハードコードされているものであったり、セキュリティが最小限の設定だったり、デフォルトのパスワードがそのままになっていたりすると、大きなリスクを負うことになります。機密性の高いデータの入手やネットワークへの侵入を目的とした悪意のあるハッカーは、これらの安全ではないデバイスから簡単に侵入することができます。

組織がサプライチェーンのリスクを軽減する方法

サプライチェーンに潜むリスクを知ることは第一歩に過ぎません。サプライチェーンのリスクを効果的に管理するためには、内的要因と外的要因を考慮して、全体的かつ包括的にアプローチする必要があります。

脅威を知る

国家レベルのアクターは常に企業を標的にしており、知財を盗んだり、政府と協力している企業を狙ったり、ネットワークをダウンさせたり、捕まるまで情報を吸い上げたりするために企業に入り込んできます。これらの悪質な行為者は、企業のサードパーティを攻撃するために、上記で詳述したリスクの多くを利用したり、複数のリスク要因を利用したりします。

以前にもご紹介しましたが、SolarWinds攻撃は海外の行為者によるもので、米国でも国家安全保障を理由に、特定の国の通信機器を重要インフラに使用することを禁止しています。

サプライチェーンごとのリスクプロファイルの把握

Slackのような企業がダウンした場合、組織のコミュニケーション能力に影響が出ますが、他のコミュニケーション手段に頼ることはできます。詰まるところ、あなたのビジネスサービスに影響を与えることはありません。

しかし、クラウドサービスプロバイダーが攻撃を受けてダウンした場合、自社のWebサイトやデータ、顧客のデータに影響を与え、組織のサービス遂行に重大な影響を与える可能性があります。

ベンダーの統合管理

先ほどのSlackの例を見てみましょう。悪質なハッカーがあなたの組織を特に狙っていて、Slackがベンダーであることを知っている場合、脆弱性を利用して、あなたの組織のSlackにアクセスしようとしたり、重要なデータを見つけたり、機密チャンネルに潜んだり、さらにはあなたの組織のネットワークに侵入したりするかもしれません。

しかし、セキュリティを考慮してSlack（または同様のベンダー）を設定していれば、ベンダーがネットワークやデータに不必要なアクセスを提供していないことを確認できます。

成功するサプライチェーンリスク管理戦略

サプライチェーンのリスク管理は、特に自社の社内システムや環境の安全性確保と比較すると複雑です。これは継続的な取り組みであり、全体的なリスク管理とサイバーセキュリティ戦略の一環として一貫して行うべきものです。ここでは、サプライチェーン攻撃から身を守るために考慮すべき戦術的な戦略をご紹介します。

自社のサプライチェーンエコシステムの理解

サプライチェーンを正しく把握できないと、リスク管理が非常に難しくなります。他の部門と連携して、サプライチェーンに関わるすべてのベンダー、サードパーティ、パートナーのリストを作成しておく必要があります。その上で、これらのベンダーやパートナーの中で、最もリスクを抱えているのはどの企業かを特定します。攻撃された場合、それは組織のパフォーマンスや顧客へのサービスに影響を与えるでしょうか？侵害された場合、自社のデータやネットワークが漏洩されますか？

これらのベンダーの重要性を理解することで、適切なインシデント対応計画を準備することができます。

サプライチェーンのネットワークアクセスと統合の制限

多くのハッカーや脅威の行為者は、サードパーティを経由して組織に到達しようと積極的に試み、検出を回避してサードパーティの不十分なセキュリティを利用しようとします。しかし、適切なネットワークセグメンテーションを行い、サードパーティのネットワークアクセスを制限し、必要なデータのみを扱うようにしていれば、ハッカーが自社のネットワークに与えることのできる損害の種類を制限できます。

ネットワークの不審な動きを監視する

サプライチェーン環境全体のネットワークアクセスを防止することはできませんので、何らかの監視や追跡を実施する必要があります。サプライチェーンベンダーの1社が異常な行動をとり、不必要なデータやネットワークの一部にアクセスしている可能性がある場合は、不正アクセスの可能性があります。

ビジネス上重要なベンダーに対するインシデント対応計画の作成

ビジネスに不可欠なサプライチェーンのベンダーやパートナーに対しては、最悪のケースを想定し、それに応じてインシデント対応計画を準備する必要があります。最悪のシナリオとして、重要なベンダーが機能しなくなった場合を想像してみてください。お客様とのコミュニケーションはどのように行うのでしょうか？他のベンダーや社内のソリューションに頼ることはできませんか？さらなる被害を防ぎつつ、いかに早く通常の業務（BAU）に戻せるか。

これらのシナリオを計画する際には、できるだけ早く通常の業務に戻ることを優先し、データの流出を最小限に抑え、インシデントが公表された場合のコミュニケーション戦略を確実に実施します。これにより、自社のシステムやネットワークを危険にさらすことなく、お客様にサービスを提供することができ、またお客様の評判も維持することができます。

結びとして

理想的には、サプライチェーンリスク管理は全体的に検討され、全体的なリスク管理の枠組みの一部であるべきです。これにより、社内外でのリスク管理が確実に行われ、企業が社内で成長したり、新しいベンダーを活用したりする際に、リスクを処理するための最適な方法を部門に提供することができます。

Varonisのソリューションは、社内データを安全に保ち、悪人の手に渡らないようにするために役立ちます。

参考資料

・オリジナルブログ記事（英文）
https://www.varonis.com/blog/supply-chain-risk-management

・SolarWinds attack explained: And why it was so hard to detect（英文）
https://www.csoonline.com/article/570191/solarwinds-supply-chain-attack-explained-why-organizations-were-not-prepared.html

・SolarWinds製品に対する攻撃、ロシアの諜報機関が背後に--米英が公に非難
https://japan.zdnet.com/article/35169463/

・Bans on Foreign Equipment in U.S. Critical Infrastructure（英文）
https://www.lawfaremedia.org/article/bans-foreign-equipment-us-critical-infrastructure

ブログ記事著者の紹介

Josue Ledesma

Josue Ledesmaは、ニューヨーク市に住む作家、映画製作者、コンテンツマーケティング担当者です。情報セキュリティ、技術と金融、消費者のプライバシー、B2Bデジタルマーケティングなどを専門領域としています。執筆ポートフォリオは https://josueledesma.com/Writing-Portfolio をご参照ください。

（翻訳：跡部 靖夫）