SOMPO CYBER SECURITY
当社では技術提携をしているイスラエル企業のブログを紹介しています。
今回は当社の「サプライチェーンリスク評価サービス」で技術提携をしているPanorays Ltd.のCTOであるDemi Ben-Ari氏のブログ『サプライチェーンを悪用した大規模サイバー攻撃 5つの対策』を紹介します。
みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。
Demi Ben-Ari@Panorays | 2020年12月23日
おそらく、既に皆さんはIT管理の製品を手掛けるSolarWinds社の製品を悪用した大規模なサイバー攻撃の話をニュースなどで耳にしているのではないでしょうか。近年のサプライチェーンを標的とした攻撃の中でも記憶に残る規模の攻撃と被害が報告されています。騒動がひと段落した今、何が起こったのか、そしてこれから取るべき対策をここにまとめます。
攻撃者グループは、ロシア人であると言われています。
簡単に言えば、ハッカーはOrionと呼ばれるSolarWinds社製のネットワーク管理アプリのアップデートにマルウェアを埋め込み、Orionユーザがアップデートを行うと感染するという仕組みです。その結果、米財務省、米国土安全保障省、米国のサイバーセキュリティ企業FireEyeなどを含む18,000に及ぶ組織が侵害された可能性があると考えられています。FireEyeでは今回の侵害により自社が開発した複数のレッドチームツールが盗まれたと公表しています。
今こそ、自己点検を実行する好機です。
よく考えてみて下さい。
全ての組織はSolarWinds社の製品の利用の有無にかかわらず、例外なくサプライヤを介した侵害の恐れがあります。つまり、重要なのは、組織がサイバーレジリエンスを強化し、インシデントに見舞われても即時回復を目指すためには何が必要かを理解することです。
SolarWinds社側の対応も含め、今回の事例からは多くのことを学ぶことができると考えています。
考慮すべき5つの重要な対策は次のとおりです:
まさかと思われるかもしれませんが、サードパーティーやフォースパーティなどの接続しているすべてのサプライヤを把握・管理できている組織は多くはありません。把握できていないとどうなるかと言うと、実際にデータ侵害が発生した場合、深刻な問題が生じます。把握できていれば、侵害の連鎖が起こりかねないサプライヤに迅速に警告することで、侵害の範囲をより適切に制御することができるのです。
もう1つの非常に重要なのに、しばしば見落とされがちな考慮すべき項目は何でしょう?
サプライヤとの連絡方法です。侵害が発生した場合に迅速に連携するには、自組織内の担当者はもちろんのこと、各サプライヤの連絡先情報も常に更新しておくことが不可欠です。連絡先情報は、通常のサードパーティのセキュリティリスク管理の一環としてメンテナンスを随時行う必要があります。サプライヤの連絡先だけで充分と思われがちですが、自組織内の誰がそのサードパーティを担当しているのかを把握しておく必要もあります。
キルスイッチとはレーシングカーやオートバイについている、緊急時に燃料や電力の供給を遮断しエンジンを緊急停止させる装置で、事故や転倒の際に火災などの二次被害を防ぐ役割を果たします。
SolarWinds社製品を悪用した侵害が発覚した後、FireEyeによる分析を基にドメインレジストラのGoDaddyとMicrosoftはマルウェアの活動を停止させる「キルスイッチ」を作成し、サイバー攻撃による悪影響の一部を軽減することに成功しています。同様に、組織としてはサプライヤごとに同様のキルスイッチのような概念の戦略を導入し、その実装方法に関する文書と知識の拡充をお勧めします。この戦略は、各サプライヤとのビジネス上の関係性に基づいている必要があります。
システム侵害の可能性について、数百、あるいは数千ものサプライヤに通知する必要がある場合、スピードが鍵となります。これを実現するための唯一の実用的な方法は、サードパーティおよびフォースパーティに問題を迅速に警告し、修復のためのステップを提供できる自動化されたソリューションを使用することです。逆に言えば、サプライチェーンのセキュリティリスク管理が手動プロセスに依存している場合には、問題となります。
サイバー脅威は絶えず変化し、進化しているため、都度柔軟に対応する必要があります。さらに、組織側も常に変化しており、サイバー攻撃に対して脆弱な可能性のある新しいソフトウェアや技術が導入されています。これらの理由から、サプライチェーンのセキュリティリスク管理には、課題を特定するための継続的なモニタリングが含まれていることが不可欠です。
これらの戦略はすべて、総合的なサプライチェーンのセキュリティリスク管理には不可欠な要素です。SolarWinds社製品の侵害から最終的にどのような影響が出るかはまだわかっていませんが、現行のサプライチェーンのセキュリティリスク戦略と管理体制を見直して、できるだけレジリエンスを強化しておくことは後々のメリットとなることは確実です。
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年4月 2024.4.17追記本記事公開後、当該脆弱性の悪用条件等の更新が行われています。最新の情報はP...
サプライチェーンリスク評価サービス『Panorays』の採用事例として、株式会社ダイフクさまにお話をうかがいました。 近未来を想像させる大阪市内にある真新しい本社ビルで、サプライチェーンリスク評価サービス『Panorays』の採用事例の取材をさせて頂いたのは、日本国内外でビジネスを大きく成長させている製造大手の株式会社ダイフクさまです。実際の運用はまだこれからという段階であり、採用に至った背景や理...
当社が提供するサプライチェーンリスク評価サービス『Panorays』を使った組織のセキュリティ態勢強化の事例です。 日本国内外でビジネスを大きく成長させている製造大手の株式会社ダイフクさまの取り組みを紹介します。実際の運用はまだこれからという段階であり、採用に至った背景や理由をうかがうための取材だったのですが、大切な海外のロイヤルカスタマーから、サプライチェーンリスク管理の一環として、Panora...
イベント詳細・お申し込み(IIJ Globalサイトへ移動) 当社サプライチェーンリスク評価サービスPanoraysについてはこちら セミナー概要 サプライチェーンの強靭化、カーボンニュートラルへの移行、「もの売りからコト売り」へのシフト等、製造業は多くの対応を迫られています。製造現場における制御システムの領域においても、環境変化に対応すべく製造DXの取り組みが加速していますが、DXが進むほどサイ...