前回、Emotetなどのマルウェア侵入への対処法として「Endpoint Detection and Response」(EDR)や「Managed Detection and Response(MDR)サービス」「サイバー保険」を紹介した。ただ、“各社、ぜひ導入を検討いただきたい”と言っても、全ての企業・組織がこうした対策を導入するわけではない。取引関係にある企業・組織のマルウェア対策が不十分な場合、不安を感じないだろうか。実際、サイバー攻撃はグループ企業や関連企業など、サプライチェーンを構成する企業の対策が弱い部分を突いて侵入してくることが多い。

サプライチェーンセキュリティ管理の課題

 サプライチェーン企業の対策が弱いために侵入されたいくつかの例を以下に示す。

・自治体などの業務委託先がEmotetに感染し、委託業務に関連する個人情報が漏えい。
・取引先企業がランサムウェアに感染し、システムが停止した影響で生産業務が停止。
・海外グループ会社がランサムウェアに感染し、システム障害や情報漏えいが発生。

 独立行政法人 情報処理推進機構(IPA)の情報セキュリティ10大脅威 2022でも「サプライチェーンの弱点を悪用した攻撃」という脅威が3位に入っている。2019~2021年にも4位にランクインしており、警戒すべき脅威の一つであることが伺える。

 このような状況下で、サプライチェーンの頂点となる大手企業は、取引先に対して、自社のセキュリティガイドラインや国内外のセキュリティガイドラインに沿ったセキュリティ監査および対応依頼を始めた。依頼に対し、各社がどのように対応するかによって、厳しいケースでは、取引停止になるということもあるだろう。

 しかし、ここには課題がある。セキュリティ監査や対応依頼だけでは実際に対策しているかどうか分からないのだ。Emotetやランサムウェアに感染し、取引先に迷惑を掛けることになって初めて、対策されていないことがあらわになるケースもあり、サプライチェーンの頂点となる企業のセキュリティ担当者は頭を悩ませている。セキュリティ監査や対応依頼の対象がグループ会社であれば、内部監査で厳しくチェックし是正を求めることはできるが、そうではない場合、他社の経営領域に踏み込みづらく、アンケートやヒアリングでしか確認できないのが実態だ。

 こうした現状を打破すべく、近年、外部業者がサプライチェーン頂点の企業に代わり取引先のセキュリティ監査を行うようになってきた。具体的にどのようなことを行うのか紹介する。

外部業者による取引先のセキュリティチェック

 セキュリティチェックには、大きく分けて二つの手法がある。内部からのチェックと外部からのチェックだ。簡単に言うと、内部からのチェックはアンケートやヒアリングによる実態調査だ。一方、外部からのチェックは企業・組織が管理する外部公開システムのセキュリティホールを見つける調査と思ってもらえれば良いだろう。準備から、実際のチェック作業、チェック結果のフィードバックまで、外部業者によるセキュリティチェックで発生する各プロセスの概要を説明する。どのプロセスも非常に重要だ(図1参照)。

1.取引先評価方針の策定
評価の対象範囲、運用方針、管理方針を策定する。

2.取引先評価基準の策定
取引先を評価するための基準となるガイドラインの準備とチェックリスト、ヒアリングシートなどを作成する。業種や取引内容などで異なる。

3.取引先評価のインプロセス化
取引先評価の施策(規則や手順)をサプライチェーン内の既存の調達プロセスに適用する。

4.取引先評価の実施
(A):内部からの実施
2.で策定した取引先評価基準(ガイドラインに基づくチェックリストやヒアリングシート)を用いて、まずは、取引先自らチェックを行ってもらい、必要に応じて監査形式で確認を行う。
(B):外部からの実施
EASM(External Attack Surface Management:外部攻撃対象領域管理)ツールなどを用いて、外部に公開されている取引先の情報(IPアドレス、ドメイン情報、証明書、Webサイトなど)を探索し、発見した資産(グローバルIPアドレスを有するサーバーや機器、クラウドサービス)に対し通信チェックを行い、セキュリティホールを見つける。なお、外部からのチェックを行う際には、取引先に事前に了承を得ておくことを忘れないでほしい(図2参照)。

5.取引先評価結果の分析・評価
取引先の自己申告による分析・評価結果を受け取り、確認を行う。必要に応じて、評価や是正策のフィードバックを行う。

 以上、外部業者による取引先のセキュリティチェックについて説明してきた。どのような企業が取引先となるかは業種で異なる。製造業であれば、原材料や部品の調達、生産、物流、販売、システム導入、設備導入といったところが主な取引先であろう。公共機関やインターネットサービス業など製造を伴わない業種であれば、業務委託、システム導入、設備導入あたりが主な取引先になるであろう。持続的な社会を実現するには、安定した製品の提供はもちろん安定したサービスの提供も重要だ。それぞれの業態に合わせてセキュリティチェックのプロセスを定義し、組織の規模にかかわらずサプライチェーン全体で協力してセキュリティの強化を行っていくことが必要である。

master:
早稲田大学グローバル
エデュケーションセンター
非常勤講師

日立ソリューションズ
セキュリティソリューション事業部
企画本部
セキュリティマーケティング推進部 部長
SecurityCoE センタ長
セキュリティエバンジェリスト
扇 健一 氏