サプライチェーンセキュリティとは?求められるサプライチェーン攻撃への対応

サプライチェーン
2023.10.23

近年、日本だけでなく世界中でサプライチェーンを狙ったサイバー攻撃が増加し、報道等で「サプライチェーン」という言葉を見聞きすることが増えています。
この記事では、サプライチェーンについて解説したうえで、サプライチェーン攻撃において考慮すべき対象や、サプライチェーンセキュリティ対策を怠った場合の被害事例、対策についてご紹介します。

セキュリティ無料相談

目次

サプライチェーン攻撃とは

サプライチェーンセキュリティ

ある商品が消費者に届くまでの一連の流れのことを「サプライチェーン」と呼びます。
サプライチェーンは、「原料の調達」に始まり、「製造」「在庫管理」「物流」「販売」等を通じて、消費者の手元に届くまでの供給(supply)を鎖(chain)に見立て、ひと続きの連続した流れとして捉える考え方です。

この企業や組織のサプライチェーンに対して行われるサイバー攻撃のことをサプライチェーン攻撃と呼びます。攻撃者は、サプライチェーンに参加する企業や業者、あるいはサプライチェーン管理システム自体に侵入して、その仕組みやデータを不正に入手しようとします。
サプライチェーン攻撃は、単一の企業やシステムに対する攻撃よりも複雑で広範囲な被害を引き起こすことがあります。

サプライチェーン攻撃

サプライチェーンセキュリティとは

サプライチェーンセキュリティとは企業や組織がサプライチェーンにおいて情報セキュリティを維持するための施策や取り組みを指します。昨今のサイバーリスクの高まりを受けて、セキュリティリスクを低減し自社の経営を継続するために、このサプライチェーンセキュリティの必要性が訴えられています。
サプライチェーンセキュリティでは、サプライチェーン全体における情報の流れや取引に関わるすべての企業やシステムを対象としているため、セキュリティリスクがより複雑になることがあります。
場合によっては、情報セキュリティ対策が不十分なことで取引先や顧客に影響が生じる可能性もあるため、しっかりと対策を講じましょう。

サプライチェーン攻撃の対象

サプライチェーン攻撃の対象

一言でサプライチェーン攻撃といっても具体的にどういった手口なのでしょうか。業種や企業によって詳細は異なりますが、ここでは、取引先企業や関係会社・インフラ事業者を経由した攻撃と、ソフトウェア等のテクノロジーを利用した攻撃について解説します。

取引先企業や関係会社、インフラ事業者を経由した攻撃

取引先や関係会社

「サプライチェーン」と聞いて真っ先に思い浮かぶのが、自社と直接取引している企業や、グループ会社等の関係会社ではないでしょうか。攻撃者はターゲット企業に直接サイバー攻撃を仕掛けるだけでなく、ターゲット企業の情報システムに直接攻撃することが難しい場合に、ターゲット企業のサプライチェーンに参加する取引先や関係会社に対して、悪意のあるソフトウェアを送り込み、不正にアクセスすることでターゲット企業に対する攻撃を仕掛けることがあります。
取引先や関係会社がサイバー攻撃の被害に遭ってしまうと、「取引先が操業停止に陥り、仕入れ品が納品されないため、自社の出荷スケジュールに遅延が発生する」、「委託先が不正アクセスを受けて、自社の営業秘密である図面データが漏えいする」といった被害が考えられます。
そのため、企業や組織はサプライチェーン全体におけるリスクを把握し、セキュリティシステムの構築、情報共有ルールを定めるなど、サプライチェーンセキュリティの強化が必要です。また、取引先や関係会社とのコミュニケーション強化や、セキュリティに関する契約条項の明確化なども重要になります。

インフラ事業者

インフラ事業者とは、電気・水道・ガスといったライフライン企業、インターネットやクラウドサービス事業者、ビルオーナーなどが挙げられます。これらのインフラ事業者を経由してサイバー攻撃を受ける可能性があるため、自社に及ぼすリスクも対策する必要があります。
たとえば、クラウドサービスプロバイダーが攻撃を受けることで、そのクラウドサービスを利用する多数の企業や組織にも被害が発生することがあります。
これにより想定される被害としては、「自社が利用しているクラウドサービスが不正アクセスを受けて、クラウドに保存していた顧客情報が漏えいする」、「自社が入居しているビルの管理システムがサイバー攻撃を受けて、オフィスへの電力供給や空調が停止する」といったものがあります。
そのため、インフラ事業者にも情報セキュリティポリシーの策定や、セキュリティ監視体制の整備、サイバー攻撃を検知するシステムの導入等の対策が必要です。

ソフトウェアやハードウェアなどのテクノロジーを利用した攻撃

取引先や関係会社、インフラ事業者を経由したネットワーク系の攻撃についてご紹介しましたが、ここからはソフトウェアやハードウェアといったテクノロジーを利用した攻撃についてご紹介します。

ハードウェア

サプライチェーン攻撃はハードウェアを利用して実行されることもあります。自社が製品に組み込むために仕入れた電子部品等の中に、模造品(偽物)が紛れ込んでいた場合、完成品としての製品の品質、しいては自社の信頼に関わる問題となります。また、エンドユーザーが購入した製品の中に模造品のパーツが含まれていた場合に「故障しやすくなる」「仕様通りの動作をしない」「突然発火する」などの被害が考えられます。この模造品対策の一例として、日本産業規格(JIS)において、ISO 9001をベースに航空宇宙産業特有の要求事項を織り込んだ「JIS Q 9100:2016」にて、新たに”8.1.4模倣品の防止”が要求事項として追加されています。

出典:ニセモノ半導体にご用心 真贋判定「3割が不正品」: 日本経済新聞 (nikkei.com)

出典:電子部品の市場流通品に対するスクリーニング(模倣品対策)|デバイス/モジュールの信頼性評価、電気的特性測定・評価|OKIエンジニアリング (oeg.co.jp)
JIS Q 9100の分かり易い解説について(第4回-1) - 名古屋品証研株式会社(hinshoken-tfm.jp)

ソフトウェア

ハードウェアと同様に、ソフトウェアについてもサプライチェーン攻撃への対策を講じる必要があります。
アメリカでは、政府も使用していたソフトウェアの正規アップデートファイルに「マルウェア」が仕込まれていたという事件がありました。これを受け、ソフトウェアのサプライチェーンセキュリティ対策としてSBOM(Software Bill Of Materials:ソフトウェア部品表)の取り組みが進んでいます。

※SBOM(Software Bill Of Materials:ソフトウェア部品表)・・・製品に含まれるソフトウェアを構成するコンポートネント、依存関係、ライセンスデータ等をリスト化したもの。

出典:INTERNET Watch「ソフトウェアサプライチェーンをセキュア化するためのガイダンス、推奨事項を要チェック」(impress.co.jp)
ニュートン・コンサルティング「サイバー/デジタルリスク Navi サイバーセキュリティとDXの最新情報」(newton-consulting.co.jp)

サプライチェーンセキュリティの具体的な対策

サプライチェーン全体のリスク評価の実施

サプライチェーン攻撃の被害を防ぐため、業務委託や情報管理における規則の徹底が非常に大切です。日ごろから取引先や委託先、利用しているサービス提供会社の情報セキュリティ対応状況の確認や監査を行いましょう。

サプライチェーン全体のセキュリティ管理体制や監視体制の構築

サプライチェーン全体にわたるセキュリティ管理体制を構築し、セキュリティ管理責任者を明確にしましょう。また、取引先や関係会社との契約書に、セキュリティ管理に関する規定を明確にすることも重要です。報告体制やインシデント対応計画の整備を行うとともに、定期的な訓練を行い、適宜見直しましょう。さらに、情報漏えいが発生した場合に備えて、どの情報がどれだけ漏えいしたか等を後から調査できるように、パソコンの操作ログ等を収集する仕組みの導入も必要です。

製造業においての注意点

製造業等においては、納品物の検証や出荷検査を徹底し、模造品や脆弱なソフトウェアが紛れ込む、または出荷しないように注意します。さらに、原料や部品の調達先を複数用意しておくことで、サプライチェーン寸断による生産停止や出荷遅延等のリスク低減につながります。

もしもサプライチェーン攻撃を受けてしまったら

万全なセキュリティ対策を講じていてもサプライチェーン攻撃を受けてしまう可能性は否定できません。
万が一サプライチェーン攻撃の被害を受けてしまったら、事前に策定した報告体制やインシデント対応計画に従い、影響の調査および原因の追究を行います。個人情報の漏えいがあった場合には、個人情報保護委員会への報告が必要となります。また、原因の追究を自社で行うことには限界があるため、セキュリティ会社など専門機関等の協力を得るようにしましょう。

出典:IPA/情報セキュリティ10大脅威 2023 組織第2位「サプライチェーンの弱点を悪用した攻撃」

ALSOKでは、情報漏えいやサイバー攻撃を防ぐ、さまざまな情報セキュリティのサービスをご提供しています。警備のプロが提供する、情報セキュリティサービスをぜひご活用ください。

おわりに

サプライチェーン攻撃によるインシデントは、自社のセキュリティ対策は万全だとしても、セキュリティ対策が脆弱な取引先や関係会社が狙われることによって自社にも被害が及ぶことがあります。
自社のセキュリティを強化することがサプライチェーン全体、ひいては社会全体のセキュリティレベルの底上げにつながるでしょう。この機会に、自社のセキュリティ体制を見直してみてはいかがでしょうか。

セキュリティ無料相談