第28回
サプライチェーン攻撃への対応準備はできていますか?—サプライチェーンリスク管理が不可欠である理由
Varonis Systems, Inc. 執筆
私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。
第28回目となる今回は、「サプライチェーン攻撃への対応準備はできていますか?—サプライチェーンリスク管理が不可欠である理由」と題して、サプライチェーン攻撃のリスク、組織が自らを守る方法、そしてサプライチェーン攻撃によって組織が崩壊するリスクを減らす方法について説明する、Josue Ledesmaのブログ記事をご紹介いたします。
世界はかつてないほど相互につながっており、クラウドとデジタル技術によって企業はグローバルに繁栄し、成功することができるようになっています。しかし、このような相互接続関係にはリスクが伴います — パートナー、ベンダー、サードパーティが企業を暴露したり、悪意のあるハッカーがサプライチェーンを通じて組織を狙うことが知られています。その結果、サプライチェーンリスク管理は、企業のリスク管理やサイバーセキュリティ戦略の重要な要素となっています。
この記事では、サプライチェーン攻撃のリスク、組織が自らを守る方法、そしてサプライチェーン攻撃によって組織が崩壊するリスクを減らす方法について説明します。
様々なサプライチェーンパートナーに依存する際に注意すべき一般的なリスクはありますが、ここでは、SolarWindsとその顧客である世界の主要企業の多くに影響を与えた攻撃のように、お客様に影響を与える可能性のあるアクティブな攻撃に焦点を当てます。
SolarWinds攻撃は、多くの組織にとって目が覚める出来事でした。国が支援するハッキンググループが、フォーチュン500社の80%以上、連邦政府機関、数百の公立教育機関に対してインフラストラクチャーサービスを提供しているSolarWindsへの侵入に成功しました。
攻撃者は企業のネットワークに潜み、検知を逃れて情報を盗むことに集中しており、重要なサードパーティが、世界で最も成功している企業でさえも悪用可能な脆弱性のポイントになり得ることを浮き彫りにしました。これまで以上に、企業のサプライチェーンは、リスク管理戦略の一部でなければなりません。
サプライチェーンリスク
サプライチェーンリスク管理とは、サプライヤーが自社にリスクを与えていないことを確認し、サプライヤーが何らかの攻撃を受けたり、侵害されたり、その他の脅威や事故に遭った場合に、自社にもたらされる可能性のある脅威を管理することです。
サプライチェーンには様々な脅威が存在しますが、それらを把握することは、サプライチェーンを保護し、最悪の事態に備えて被害を軽減するための適切なプロセスを確保するために不可欠です。
クラウドベースのベンダーのリスク
クラウドの登場により、企業は、重要なものも重要でないものも、ビジネスプロセスの多くをクラウドベースのベンダーに依存することができるようになりました。例えば、コンテンツ管理システム、ソーシャルメディア管理、データベースのホスティングやサービスなどが挙げられます。
攻撃者は、これらの重要なベンダーを標的にすることで、多くの企業のデータやシステムへのアクセスが可能になることを知っています。しかし、悪意のある行為者が特にお客様のビジネスを狙っている場合は、重要度の低いベンダーを攻撃して、そのベンダーのセキュリティが不十分であることを知り、お客様のデータにアクセスする可能性があります。
オープンソースのリスク
ソフトウェアベンダーは、サービスを提供するため、あるいは適切に機能するために、オープンソースソフトウェアに依存しており、これがリスクとなっています。オープンソースソフトウェアとは、ソースコードが公開されていることを意味し、ソフトウェアにアクセスでき、低コストで、誰もがソースコードを改良できるようにする方法です。
これらは通常、コストを抑えながら俊敏性の向上やコミュニティの改善を可能にするメリットがありますが、一方で、悪意のある行為者がソースコードをくまなく調べて、自分たちが暴露できる脆弱性を見つけて悪用することも可能になります。脆弱性に気付いていないということは、攻撃を受ける可能性があるということです。
ハードウェア(バックドア)のリスク
リスクはデジタルだけではありません。防犯カメラ、プリンター、無線接続(モデムやルーターなど)を委託している会社もリスクがあります。ハードウェアには必ずと言っていいほど、デジタルやワイヤレスの要素が含まれており、組織の攻撃対象を広げています。
これらのハードウェアデバイスが、パスワードがハードコードされているものであったり、セキュリティが最小限の設定だったり、デフォルトのパスワードがそのままになっていたりすると、大きなリスクを負うことになります。機密性の高いデータの入手やネットワークへの侵入を目的とした悪意のあるハッカーは、これらの安全ではないデバイスから簡単に侵入することができます。
組織がサプライチェーンのリスクを軽減する方法
サプライチェーンに潜むリスクを知ることは第一歩に過ぎません。サプライチェーンのリスクを効果的に管理するためには、内的要因と外的要因を考慮して、全体的かつ包括的にアプローチする必要があります。
脅威を知る
国家レベルのアクターは常に企業を標的にしており、知財を盗んだり、政府と協力している企業を狙ったり、ネットワークをダウンさせたり、捕まるまで情報を吸い上げたりするために企業に入り込んできます。これらの悪質な行為者は、企業のサードパーティを攻撃するために、上記で詳述したリスクの多くを利用したり、複数のリスク要因を利用したりします。
以前にもご紹介しましたが、SolarWinds攻撃は海外の行為者によるもので、米国でも国家安全保障を理由に、特定の国の通信機器を重要インフラに使用することを禁止しています。
サプライチェーンごとのリスクプロファイルの把握
Slackのような企業がダウンした場合、組織のコミュニケーション能力に影響が出ますが、他のコミュニケーション手段に頼ることはできます。詰まるところ、あなたのビジネスサービスに影響を与えることはありません。
しかし、クラウドサービスプロバイダーが攻撃を受けてダウンした場合、自社のWebサイトやデータ、顧客のデータに影響を与え、組織のサービス遂行に重大な影響を与える可能性があります。
ベンダーの統合管理
先ほどのSlackの例を見てみましょう。悪質なハッカーがあなたの組織を特に狙っていて、Slackがベンダーであることを知っている場合、脆弱性を利用して、あなたの組織のSlackにアクセスしようとしたり、重要なデータを見つけたり、機密チャンネルに潜んだり、さらにはあなたの組織のネットワークに侵入したりするかもしれません。
しかし、セキュリティを考慮してSlack(または同様のベンダー)を設定していれば、ベンダーがネットワークやデータに不必要なアクセスを提供していないことを確認できます。
成功するサプライチェーンリスク管理戦略
サプライチェーンのリスク管理は、特に自社の社内システムや環境の安全性確保と比較すると複雑です。これは継続的な取り組みであり、全体的なリスク管理とサイバーセキュリティ戦略の一環として一貫して行うべきものです。ここでは、サプライチェーン攻撃から身を守るために考慮すべき戦術的な戦略をご紹介します。
自社のサプライチェーンエコシステムの理解
サプライチェーンを正しく把握できないと、リスク管理が非常に難しくなります。他の部門と連携して、サプライチェーンに関わるすべてのベンダー、サードパーティ、パートナーのリストを作成しておく必要があります。その上で、これらのベンダーやパートナーの中で、最もリスクを抱えているのはどの企業かを特定します。攻撃された場合、それは組織のパフォーマンスや顧客へのサービスに影響を与えるでしょうか?侵害された場合、自社のデータやネットワークが漏洩されますか?
これらのベンダーの重要性を理解することで、適切なインシデント対応計画を準備することができます。
サプライチェーンのネットワークアクセスと統合の制限
多くのハッカーや脅威の行為者は、サードパーティを経由して組織に到達しようと積極的に試み、検出を回避してサードパーティの不十分なセキュリティを利用しようとします。しかし、適切なネットワークセグメンテーションを行い、サードパーティのネットワークアクセスを制限し、必要なデータのみを扱うようにしていれば、ハッカーが自社のネットワークに与えることのできる損害の種類を制限できます。
ネットワークの不審な動きを監視する
サプライチェーン環境全体のネットワークアクセスを防止することはできませんので、何らかの監視や追跡を実施する必要があります。サプライチェーンベンダーの1社が異常な行動をとり、不必要なデータやネットワークの一部にアクセスしている可能性がある場合は、不正アクセスの可能性があります。
ビジネス上重要なベンダーに対するインシデント対応計画の作成
ビジネスに不可欠なサプライチェーンのベンダーやパートナーに対しては、最悪のケースを想定し、それに応じてインシデント対応計画を準備する必要があります。最悪のシナリオとして、重要なベンダーが機能しなくなった場合を想像してみてください。お客様とのコミュニケーションはどのように行うのでしょうか?他のベンダーや社内のソリューションに頼ることはできませんか?さらなる被害を防ぎつつ、いかに早く通常の業務(BAU)に戻せるか。
これらのシナリオを計画する際には、できるだけ早く通常の業務に戻ることを優先し、データの流出を最小限に抑え、インシデントが公表された場合のコミュニケーション戦略を確実に実施します。これにより、自社のシステムやネットワークを危険にさらすことなく、お客様にサービスを提供することができ、またお客様の評判も維持することができます。
結びとして
理想的には、サプライチェーンリスク管理は全体的に検討され、全体的なリスク管理の枠組みの一部であるべきです。これにより、社内外でのリスク管理が確実に行われ、企業が社内で成長したり、新しいベンダーを活用したりする際に、リスクを処理するための最適な方法を部門に提供することができます。
Varonisのソリューションは、社内データを安全に保ち、悪人の手に渡らないようにするために役立ちます。
参考資料
・オリジナルブログ記事(英文)
https://www.varonis.com/blog/supply-chain-risk-management
・SolarWinds attack explained: And why it was so hard to detect(英文)
https://www.csoonline.com/article/570191/solarwinds-supply-chain-attack-explained-why-organizations-were-not-prepared.html
・SolarWinds製品に対する攻撃、ロシアの諜報機関が背後に--米英が公に非難
https://japan.zdnet.com/article/35169463/
・Bans on Foreign Equipment in U.S. Critical Infrastructure(英文)
https://www.lawfaremedia.org/article/bans-foreign-equipment-us-critical-infrastructure
ブログ記事著者の紹介
Josue Ledesma
Josue Ledesmaは、ニューヨーク市に住む作家、映画製作者、コンテンツマーケティング担当者です。情報セキュリティ、技術と金融、消費者のプライバシー、B2Bデジタルマーケティングなどを専門領域としています。執筆ポートフォリオは https://josueledesma.com/Writing-Portfolio をご参照ください。
(翻訳:跡部 靖夫)
プロフィール
Varonis Systems, Inc. (NASDAQ: VRNS) はデータセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。Varonisはデータのアクティビティや境界テレメトリー、ユーザーの振る舞いを分析することにより企業のデータを保護し、機密性の高いデータのロックダウンにより事故を防ぎ、また、自動化によりセキュアな状態を効率的に維持します。
Webサイト:Varonis Systems, Inc.
- 第36回 Varonis for ServiceNowのご紹介
- 第35回 CISOの秘密: 2025年に向けた究極のセキュリティ計画
- 第34回 クラウドセキュリティの問題を発見して修正するAWS Access Graphのご紹介
- 第33回 Varonis for Google Cloudのご紹介
- 第32回 Microsoft 365 CopilotへのNIST CSF 2.0の適用
- 第31回 NISTサイバーセキュリティフレームワーク 2.0を紐解く
- 第30回 データセキュリティ最前線: Varonisのいま(2024年10月)
- 第29回 DSPMを利用してシャドーデータベースを見つける方法
- 第28回 サプライチェーン攻撃への対応準備はできていますか?—サプライチェーンリスク管理が不可欠である理由
- 第27回 クラウドの裂け目:大規模学習モデル (LLM) リスクから身を守るには
- 第26回 クラウドの構成ドリフトを防ぐには
- 第25回 データ漏洩に繋がるAWSの構成不備
- 第24回 データ分類製品購入ガイド: データ分類ソリューションの選び方
- 第23回 クラウド領域のデータセキュリティ:DSPMの主な活用方法
- 第22回 米国証券取引委員会(SEC)の新サイバー開示ガイドラインが意味するもの
- 第21回 対談:悪意のある(非)内部関係者
- 第20回 欧州連合人工知能法(EU AI法):その内容と重要ポイント
- 第19回 UEBAとは?ユーザーとエンティティーの振る舞い分析 (UEBA) の完全ガイド
- 第18回 対談:ガバナンス、リスク管理、コンプライアンス (GRC) の原理
- 第17回 クラウドセキュリティプログラムを一から構築するには
- 第16回 Snowflake内の重要データの安全を確保するには
- 第15回 Salesforceの保護:公開リンク作成を防止
- 第14回 ランサムウェアを防止する方法:基本編
- 第13回 クラウドセキュリティの基本:データセキュリティ態勢管理(DSPM)の自動化
- 第12回 職場でのAI活用:ビジネス活用のための準備と安全確保に関する3つのステップ
- 第11回 DSPM購入ガイド:DSPMソリューションの選び方
- 第10回 ISO 27001 (ISMS) 準拠ガイド: 重要なヒントと洞察
- 第9回 クラウドデータセキュリティの未来:DSPM活用法
- 第8回 組織における責任共有モデルの理解と適用
- 第7回 Varonisを活用してMicrosoft Copilot for Microsoft 365の安全な導入を加速する方法
- 第6回 企業向けCopilotに入力して欲しくないプロンプト6選
- 第5回 DSPMとCSPMソリューションの比較:データセキュリティとクラウドセキュリティを橋渡しするには
- 第4回 生成AIセキュリティ:Microsoft Copilotの安全なロールアウトに向けて
- 第3回 Varonisが内部者の脅威との戦いを支援する3つの方法
- 第2回 VaronisがGigaOmの2023年版レーダーレポート「データセキュリティプラットフォーム」でリーダーに選出
- 第1回 Varonis誕生ものがたり