サプライチェーンのセキュリティ連鎖をAIと統合プラットフォームで止める

　「サイバー攻撃は増加する一方だ。最も狙われやすいのが教育・研究部門である傾向は5年連続だが、1社当たり攻撃回数が最も増えたのはハードウェア／半導体関連の企業である。こうした脅威はサプライチェーンを介して広範囲に広がる可能性がある」--。チェック・ポイント・ソフトウェア・テクノロジーズ サイバーセキュリティオフィサーの卯城 大士 氏は、こう警鐘を鳴らす（写真1）。

写真1：チェック・ポイント・ソフトウェア・テクノロジーズ サイバーセキュリティオフィサーの卯城 大士 氏

　チェック・ポイントが発行する『セキュリティレポート』によれば、ハードウェア／半導体関連企業への攻撃は前年比で79％増加。ソフトウェア関連企業への攻撃は同9％増加した。

　攻撃手法としては、業務で利用している個人所有のデバイスからアクセス認証情報やトークンを窃取する「インフォスティーラー」が活性化している。ファイアウォールやルーターなどの末端機器が乗っ取られる例も増えている。こうした侵害にいち早く対応するために「行政機関への報告義務などの法規制が進み、24時間以内の報告を義務づける国も現れている」（卯城氏）

「フォースパーティ」を含むセキュリティ対策が必要に

　上記のような攻撃で得た情報を元に、攻撃者はサプライチェーンを構成する組織間のネットワークに侵入してくる。卯城氏は「サプライチェーンは信頼関係と依存関係で結ばれた関係者間のネットワークだ。その特性上、どこかでセキュリティ侵害が発生すると、連鎖的に影響や被害が拡大しやすい」と指摘する。

　例えば、製造業のサプライチェーンであれば部品の取引先から製造企業への経路、ソフトウェアのサプライチェーンなら開発コードやSaaS（Software as a Service）のインフラを経由して広がる影響もある（図1）。

図1：サプライチェーンは信頼関係と依存関係で結ばれた関係者間のネットワークであり、障害も連鎖する

　サプライチェーンのリスクについて卯城氏は「近年、注目すべきリスクに『フォースパーティ』がある」と指摘する。フォースパーティとは、例えばサードパーティであるSaaS事業者がソフトウェアの開発やデータの保存などを委託している企業を指す。

　この場合「サードパーティのセキュリティ対策の状況によってはフォースパーティからの影響を受ける可能性がある。サプライチェーン全体のセキュリティを確保するためには、フォースパーティまでを可視化しリスクを評価する必要がある」と卯城氏は説明する。

　具体的な対策としては、まずサードパーティやフォースパーティが、どのような情報を持っているのかを契約で明確にする。次に、攻撃サーフェス管理ツールなどを使って潜在的なリスクを可視化。それらの情報を元に対策の優先順位を決定する。このプロセスに対し卯城氏は次のように説明する。

　「IT担当者だけでなく、法務部門や契約担当者など組織全体の協力が不可欠だ。サプライチェーン管理プラットフォームなどを使い各部門が連携してリスク評価と対策を取れば、インシデント発生時に迅速かつ組織全体で対応できる。すなわちサプライチェーン全体の透明性を高め、リスクを可視化し、組織全体で対策に取り組むことが、セキュリティを確保するためのポイントになる」