SOMPO CYBER SECURITY
当社では技術提携をしているイスラエル企業のブログを紹介しています。
今回は当社の「サプライチェーンリスク評価サービス」で技術提携をしているPanorays Ltd.のCTOであるDemi Ben-Ari氏のブログ『サプライチェーンを悪用した大規模サイバー攻撃 5つの対策』を紹介します。
みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。
Demi Ben-Ari@Panorays | 2020年12月23日
おそらく、既に皆さんはIT管理の製品を手掛けるSolarWinds社の製品を悪用した大規模なサイバー攻撃の話をニュースなどで耳にしているのではないでしょうか。近年のサプライチェーンを標的とした攻撃の中でも記憶に残る規模の攻撃と被害が報告されています。騒動がひと段落した今、何が起こったのか、そしてこれから取るべき対策をここにまとめます。
攻撃者グループは、ロシア人であると言われています。
簡単に言えば、ハッカーはOrionと呼ばれるSolarWinds社製のネットワーク管理アプリのアップデートにマルウェアを埋め込み、Orionユーザがアップデートを行うと感染するという仕組みです。その結果、米財務省、米国土安全保障省、米国のサイバーセキュリティ企業FireEyeなどを含む18,000に及ぶ組織が侵害された可能性があると考えられています。FireEyeでは今回の侵害により自社が開発した複数のレッドチームツールが盗まれたと公表しています。
今こそ、自己点検を実行する好機です。
よく考えてみて下さい。
全ての組織はSolarWinds社の製品の利用の有無にかかわらず、例外なくサプライヤを介した侵害の恐れがあります。つまり、重要なのは、組織がサイバーレジリエンスを強化し、インシデントに見舞われても即時回復を目指すためには何が必要かを理解することです。
SolarWinds社側の対応も含め、今回の事例からは多くのことを学ぶことができると考えています。
考慮すべき5つの重要な対策は次のとおりです:
まさかと思われるかもしれませんが、サードパーティーやフォースパーティなどの接続しているすべてのサプライヤを把握・管理できている組織は多くはありません。把握できていないとどうなるかと言うと、実際にデータ侵害が発生した場合、深刻な問題が生じます。把握できていれば、侵害の連鎖が起こりかねないサプライヤに迅速に警告することで、侵害の範囲をより適切に制御することができるのです。
もう1つの非常に重要なのに、しばしば見落とされがちな考慮すべき項目は何でしょう?
サプライヤとの連絡方法です。侵害が発生した場合に迅速に連携するには、自組織内の担当者はもちろんのこと、各サプライヤの連絡先情報も常に更新しておくことが不可欠です。連絡先情報は、通常のサードパーティのセキュリティリスク管理の一環としてメンテナンスを随時行う必要があります。サプライヤの連絡先だけで充分と思われがちですが、自組織内の誰がそのサードパーティを担当しているのかを把握しておく必要もあります。
キルスイッチとはレーシングカーやオートバイについている、緊急時に燃料や電力の供給を遮断しエンジンを緊急停止させる装置で、事故や転倒の際に火災などの二次被害を防ぐ役割を果たします。
SolarWinds社製品を悪用した侵害が発覚した後、FireEyeによる分析を基にドメインレジストラのGoDaddyとMicrosoftはマルウェアの活動を停止させる「キルスイッチ」を作成し、サイバー攻撃による悪影響の一部を軽減することに成功しています。同様に、組織としてはサプライヤごとに同様のキルスイッチのような概念の戦略を導入し、その実装方法に関する文書と知識の拡充をお勧めします。この戦略は、各サプライヤとのビジネス上の関係性に基づいている必要があります。
システム侵害の可能性について、数百、あるいは数千ものサプライヤに通知する必要がある場合、スピードが鍵となります。これを実現するための唯一の実用的な方法は、サードパーティおよびフォースパーティに問題を迅速に警告し、修復のためのステップを提供できる自動化されたソリューションを使用することです。逆に言えば、サプライチェーンのセキュリティリスク管理が手動プロセスに依存している場合には、問題となります。
サイバー脅威は絶えず変化し、進化しているため、都度柔軟に対応する必要があります。さらに、組織側も常に変化しており、サイバー攻撃に対して脆弱な可能性のある新しいソフトウェアや技術が導入されています。これらの理由から、サプライチェーンのセキュリティリスク管理には、課題を特定するための継続的なモニタリングが含まれていることが不可欠です。
これらの戦略はすべて、総合的なサプライチェーンのセキュリティリスク管理には不可欠な要素です。SolarWinds社製品の侵害から最終的にどのような影響が出るかはまだわかっていませんが、現行のサプライチェーンのセキュリティリスク戦略と管理体制を見直して、できるだけレジリエンスを強化しておくことは後々のメリットとなることは確実です。
サプライチェーンにおけるリスク管理の重要性の話は、今に始まったことではありません。しかし、私たちのビジネス環境は変化し続けていますし、サイバー攻撃も年々巧妙化・複雑化し続けています。こうした状況下では、リスク管理の手法もまた、絶えず進化していく必要があります。 「一度始めれば終わり」という考え方では対応できない、変化し続けるサプライチェーンリスク管理の課題と最新の対策について、本連載「サイバーリス...
この領域において、20年を超える現場経験から培った知見や見えてきた課題、またその解決方法など、皆さまの参考になるよう、具体的な例を交え、SOMPO CYBER SECURITYでコンサルタントを務める私、山田 淳二が「リスクアセスメントで築く持続可能な事業インフラ」というテーマで、連載コラムをお届けしています。(過去のコラムはこちら) 本連載の最終章となる本コラムでは、セキュリティ対策における最後...
サプライチェーンにおけるセキュリティリスク管理は、今では経営課題の一つに挙げられています。 本資料は、当社と当社のパートナー企業でもあるLAC社のサプライチェーンセキュリティリスク管理に関する豊富な知見をもつ3名が、座談会で語ったサプライチェーンセキュリティ対策が進まない要因や下請け法を巡る問題などについて、ホワイトペーパーにまとめたものです。なお、こちらは2026年1月より、マイナビニュースが運...
この領域において、20年を超える現場経験から培った知見や見えてきた課題、またその解決方法など、皆さまの参考になるよう、具体的な例を交え、SOMPO CYBER SECURITYでコンサルタントを務める私、山田 淳二が「リスクアセスメントで築く持続可能な事業インフラ」というテーマで、連載コラムをお届けしています。 これまでに、前段であるPart0「なぜ、サイバーセキュリティ対策が必要なのか」で「そも...