Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

24/365の銀行サービス

全銀協が新システムを稼動させ、特にネットでの振込みが便利となるようです。

www.jiji.com

全国銀行協会は9日、金融機関の間で送金データを24時間・365日体制で処理するための新システムを稼働させた。これを受け、102行が他行宛て振り込みについて即時入金できる時間帯を土日を含め少なくとも午後9時まで延ばした。このうち、三菱UFJ銀行など64行が24時間対応になる。三井住友銀行は日曜夜から月曜朝までを除き、いつでも即時振り込みができるようになった。
 延長時間帯の手続きは、現金自動預払機(ATM)やインターネットバンキングが中心となる。信用金庫と信用組合の多くも即時振り込み可能な時間を延長しており、顧客の利便性が高まる。

(JIJI.COM記事より引用)

 

◆キタきつねの所感

これだけIT技術が発達している中で、銀行は9時~15時の店舗営業を前提としており、ATMやネットバンクも振込みに関しては翌営業日払いというのが基本でした。古きよき時代のままなクローズな世界の象徴が銀行システムであったといっても過言ではないでしょう。海外銀行ではクレジットとデビット(キャッシュ)網が同じであったりもあるのでしょうが、日本とは違い即時決済に近い運用が普通だと思います。

今回の件、まずはネットバンクの振込み辺りからサービス改善が行われるのかなと思いますが、便利になる反面、セキュリティ面での懸念を考えると、『犯罪は確実に増える』と思います。

それは、海外のニュース記事でたまにみかける、深夜にATMをぶち壊すギャングなどの物理的攻撃もありますが、今までは振り込み時間の時差があったので止められていた、振り込め詐欺を止める事が出来なくなるかも知れませんし、今年も発生したSWIFT(国際銀行間送金)詐欺の様な事件も、日本を狙ってくる攻撃が増える可能性もありそうです。

 

銀行が振り込み等の24時間運用に向かうならば、今までと同じセキュリティ、それではきっと駄目なのだろうと思います。いわゆる護送船団で守られてきた地方の金融機関は、メガバンクなどと比べて新たなリスクへの対策が遅れる傾向が強いといわれており、きっと脆弱点をハッカーに狙われるだろうな・・・と思います。

 

もう1点の懸念、24/365を元々前提としてシステムや運用を考えてこなかった銀行業界では、恐らくメンテナンスでシステムを安全に止められる時間が減ってしまう事になる気がします。IT保守には影響が出るのではないでしょうか?時間が減らされる分、例えばパッチ当てタイミングも難しくなるでしょうし、時間に追われてミスも出る。そんな近い将来の姿が目に浮かびます。

 

私は流石に15時までの振込み受付が、正しいとは思いませんが、銀行横並びで24/265運用を目指すのもどうかなと思います。『安全重視なので、夜の10時以降は振込み受付だけです。』こんな金融機関があっても良いのではないでしょうか?

ヤフオクなどで入金するときに便利だろうな・・・とは思いますが、夜間の入金が出来たとしても、相手側の入金確認(相手が寝ているケース)などもあります。ApplePayへの銀行からの入金・・・まぁ便利でしょうが、クレジットカード利用という代替手段もありますので、、私はそんなに24時間の便利さは必要ないかも知れません。

こうしたサービスにより、銀行の運用コストは確実に上がる訳で、手数料などが高くなるのだと思います。だとすれば、その上昇する運用コスト分を別なサービス、あるいはセキュリティ対策に向けてくれる方が、個人的には嬉しいかも知れません。

 

 

「24時間営業」のイラスト文字

 

更新履歴

  • 2018年10月13日AM(予約投稿)

カード情報非保持だけで安全とは限らない

多くのメディアで取り上げられている訳ではありませんが、日経XTECH、Security Next、通販通信に出たSOKAオンラインストアの調査結果記事は、経産省の施策(国策のキャッシュレス化)にも影響を与えてしまうかも知れません。

www.nikkei.com

■公式発表

聖教新聞 

 「SOKAオンラインストア」調査結果について(10/10更新)

・SOKAオンラインストア

 「SOKAオンラインストア」におけるクレジットカード情報ならびに個人情報の不正取得に関するお詫び、調査結果について

トランスコスモス 

「SOKAオンラインストア」におけるクレジットカード情報ならびに個人情報の不正取得に関するお詫び、調査結果について

 

2.調査結果と原因

 調査報告書によると、弊社が当該サイトの運営を委託しているトランスコスモス株式会社が契約しているサーバーに対して、7月30日に不正ファイルを混入され、プログラムが改ざんされました。そのためお客様が商品を購入する際に、偽のカード決済画面に遷移する仕組みとなっており、カード情報を不正に取得された可能性があることが発覚しました。
 また、偽のカード決済画面にてカード情報を入力して送信ボタンを押すとエラーが表示され、本来の当該サイトの画面に転送されるという非常に巧妙な仕組みになっておりました。
 併せて、データベースに不正にアクセスされ、個人情報を不正に取得された可能性があることも発覚しました。

(SOKAオンライン公式発表より引用)

 

◆キタきつねの所感

1ヶ月前に事件発生のリリースを受けて、私も記事を書いていたのですが、、、当時の推測は見事に外れていました。悪い方に。。。。

foxsecurity.hatenablog.com

クレジットカード系のセキュリティ関連のご事情が分からない方にザックリ説明しますと、クレジットカード関連業者が守るべき法律である『改正割賦販売法』が2018年6月に施行されました。この法律に関連するガイドラインは業界団体である、日本クレジット協会が『 クレジット取引セキュリティ対策協議会実行計画 -2018-』として策定しています。

改正法の中で、今回のECサイトのクレジットカード情報保護対策の部分は、以下の形で整理されています。

 

f:id:foxcafelate:20181013064522j:plain

それが、カード情報を自社内に持つのであれば、国際基準であるPCI DSS準拠であり、自社にカード情報を持たない(カード情報非保持)場合は、サービスプロバイダ(決済代行会社=PSP等)のPCI DSS(相当)準拠の非保持サービスを使って、安全にカード情報を受渡しする。こうした2つの方向があり、現在ほとんどのEC事業者は、『カード情報非保持』を選択しています

 

事件報告を見る限り、SOKAオンラインストアはカード情報非保持を選択していると推測されます。

細かい話になりますが、カード情報非保持の実現方法には、大きく2つのやり方があります。リンク型と呼ばれる決済画面がサービスプロバイダ(PSP)の画面に遷移(転送)される方式と、JavaScript型と呼ばれる、サービスプロバイダとのやり取りはトークンなどを使い安全に行う方法です。

 

f:id:foxcafelate:20181013065406j:plain

日本のECサイトは、ほとんどがJavaScript型を採用しているようです。これは、リンク型というのはどうしても他社画面に遷移する関係上、ユーザが不安に感じてカゴ落ち(ユーザが購入せずに逃げていく)率が高いからだと言われています。JavaScript型は自社サイトの中でクレジット決済まで完結できるので、ユーザの利便性と自社のビジネス(売上)を考えた結果、こうした選択をする事業者が多いのはある意味当然かも知れません。

 

では、今回の事件はどこに問題があったのかと言えば、加盟店側のWebページあるいは、利用しているライブラリ等々の保管体制です。一番単純に考えるならば、決済ページが改ざんされ、それに長期間ECサイト(加盟店)側が気づけなかったのが今回の事件の主原因ですトークンを使ったJavaScript型のサービスプロバイダが提供する『カード情報非保持ソリューション』は、下の図で言うと青枠の部分が保護対象であり、加盟店が自社で運用しているサイトはその範疇外です。

f:id:foxcafelate:20181013070541j:plain

ところが、多くの加盟店は、カード情報非保持ソリューションを導入し『非保持だから安全』と思ってしまっている感があります(※今回のSOKAオンラインストアもそうだったと思われます)

 

実行計画は、よく読むとカード情報非保持は、クレジットカード漏洩対策として有効な手段ではあるけれども、必ずしもそれだけに頼ってはいけないと書かれている部分があります。(※多くの事業者がそう認識してないのは、こうしたガイドラインの書き方が分かりにくい点もありそうですが・・・)

 

■参考:実行計画(P6-7)

f:id:foxcafelate:20181013072041j:plain

■参考:実行計画(P21)

f:id:foxcafelate:20181013072305j:plain

 

では、EC加盟店は何をすべきだったのか?と言えば、一番有効な対策は『Web改ざん検知』だと思います。必ずしも私だけの考えではなく、徳丸さんも同じだったようです。Twitterのコメントを引用させて頂くと、

 

f:id:foxcafelate:20181013073424j:plain

f:id:foxcafelate:20181013073642j:plain

 

f:id:foxcafelate:20181013073437j:plain

 

たどり着いた結論は同じでした。

 

この問題、懸念しているのは、他にも広がってしまうこと。そして怖いのは今回のケースでもそうだったように、

2018年8月24日(金) クレジットカード決済代行会社からカード情報が不正に取得されている可能性があるとの報告を受け、当該サイトを停止。対策委員会を設置。


 調査報告書によると、弊社が当該サイトの運営を委託しているトランスコスモス株式会社が契約しているサーバーに対して、7月30日に不正ファイルを混入され、プログラムが改ざんされました。

(公式発表より引用)

長期間(1ヶ月近く)サイト侵害、クレジットカード漏えいにECサイト側が気づけない事。

非保持なら安全というのは、全てにおいて正しい訳ではなく、自社に残されたリスクを正しく理解し、必要に応じて多層防御を考えないと、実行計画(ガイドライン)自体が、より厳しい方向に変わっていく事になってしまうかも知れません。

 

 

余談ですが、今回のSOKAオンラインストアの運営をしていたトランスコスモス社は、多くの会社のビジネスサポートをしている所であり、例えば・・・VAIOECサイト運営支援しているようです。ECサイトでは同じようにクレジット決済が伴いますので、同じ脆弱点を突かれる可能性がありそうです。(既に対応済みと信じたいですが・・・)

f:id:foxcafelate:20181013074733j:plain

 

 

イエローカードのイラスト

 

更新履歴

  • 2018年10月13日AM(予約投稿)

キャッシュレス社会は浅草から

てんやの浅草での試みが気になりました。おそらく駅前のてんやかな・・と思うのですが、ずいぶん前から外国人客が多かった印象です。

www.asahi.com

外食大手のロイヤルホールディングスは天丼チェーンの「てんや」に、完全キャッシュレスの店を試験導入する。客の9割が訪日外国人という東京・浅草雷門店を改装し、2日に開く。

 効率を引き上げ、外国人従業員が働きやすくすることも狙う。順調なら、ほかの店への導入を検討していく。

 注文は、入り口近くのタブレット端末でしてもらう。その画面には「現金の支払いはできません」などと日本語や英語、中国語、韓国語で表示する。

 会計には、クレジットカードや電子マネー、QRコードなどを利用する。主に中国で使われる決済サービス「アリペイ」ウィーチャットペイも使う。

朝日新聞デジタル記事より引用)

 

◆キタきつねの所感

私は浅草まで来て、てんや?・・と思わないでもありませんが、浅草を訪れる、外国人旅行客には日本食として安く食べれるてんやの方が、少しお高い伝統的な老舗店より入りやすいのもあるかと思います。ただし、日本での普及が遅れているQRコードは、完全に中国人対策になっているのが残念なところ。

2020年に向けた日本(企業が多く参加する)実証実験というより、現在主流な決済手段を集めただけ、その辺りが日本が東京五輪をまだまだ活かしきれていない所なのかも知れません。

考え方を少し変えれば、銀聯カードの決済端末が大きく普及して中国人観光客の爆買いに貢献したのの再来を狙っているとも見えるのですが、てんやだけでなく、浅草寺神谷バー辺りも地域一体となってキャッシュレス実証が普及すれば、日本人シニアの現金信仰に対するイメージも少しは変わるのではないでしょうか?

 

 

天丼のイラスト「海老天・れんこん・しそ・いんげん」

 

更新履歴

  • 2018年10月7日PM(予約投稿)

米中の空中戦は日本も被害者かもしれない

トランプ大統領が中国に強硬なのは日中関係改善に有利である。そんな話題も出てくる米中の貿易戦争ですが、その背景事情としてトランプ大統領が指摘している米国の知財権侵害の1つである、チップ埋め込みが本当だとすると、日本も対岸の火事ではすまないかも知れません。

www.bloomberg.co.jp

  CIAのために安全性の高いクラウドを構築していたアマゾン・ウェブ・サービシズ(AWS)が、デューデリジェンス(資産評価)の一環としてエレメンタルのセキュリティーを調査した。事情に詳しい関係者が述べた。気になる点が発見され、AWSはエレメンタルの主力製品を詳しく調べることにした。顧客企業が動画圧縮のためにネットワーク内に設置する高性能サーバーだ。これらのサーバーの組み立てをエレメンタルから請け負っていたのがスーパーマイクロ・コンピューターだった。同社はサーバー向けのマザーボードなどの供給で世界最大手の1社。関係者によると、エレメンタルの社員が2015年春の終わりに複数のサーバーを、サードパーティーのセキュリティー会社による検査のためカナダのオンタリオ州に送った。

  すると、サーバーのマザーボード上にコメ粒ほどの大きさのマイクロチップが組み込まれているのが見つかった。ボード本来の設計にはない部品だったアマゾンが発見を米当局に報告すると、情報関係者の間に衝撃が走った。エレメンタルのサーバーは国防省のデータセンターやCIAのドローンシステム、海軍の艦船間のネットワークに使われていたからだ。

Bloomberg記事より引用)

 

◆キタきつねの所感

米政府ではHuaweiやZTE等の中国企業の特定の機器やサービスの使用が禁止される事になりそうですが、その背景としては、こんな様な事実を米政府側が掴んでいたからであると想像がつきます。

当該のマザーボード自体は世界の工場、中国で作られていたことから中国政府がこうしたスパイ半導体を自国製品に意図的に混入させ、米国のハイテク機器に搭載させ機密情報を盗めるようにしていた、というスパイ映画顔負けのストーリーは現実味を帯びてきます。

 

日本では米国の話とばかり、あまり大騒ぎになってない気がするのですが、これは、日本でも同じ事が起きている可能性は結構高いのではないでしょうか。

 

こうした攻撃の嫌らしいところは、設計回路に無い小さな機器なので気づかれにくい点だけでなく、基幹部分にあるのでソフトウェア等で情報流出を検知しずらい事かも知れません。

因みに、現時点でアマゾンは悪意のあるチップの埋め込みやハードウェア不正操作の証拠は無いとしています。

 

激化する米中の争いは、貿易戦争という側面だけでなく、やはりサイバー空間は第5の戦場であり、日本も戦場に居るのだ、そうした基本的な所を改めて認識すべきだと思います。

caulis.jp

 

 

スパイの猫のイラスト

 

更新履歴

  • 2018年10月7日PM(予約投稿)

逃げるなら四国

単に個人的な興味ですが、樋田容疑者の記事はなかなか示唆に富んでいると思います。

mainichi.jp

 県警によると、8月30日午後11時半ごろ、須崎署に「道の駅のトイレ付近に不審な人物がいる」と連絡があった。パトロール中だった地域課の男性署員2人が駆け付け、職務質問すると、樋田容疑者は偽名を伝え「和歌山から来ていて、八十八カ所巡りをしています」と答えたとみられる。身分証は持っていなかったが、所持品検査をすると、衣類などが多く入っており、署員は「受け答えは素直でちゃんとしていたし、お遍路さんだと思って怪しまなかった」と話しているという。 

毎日新聞記事より引用)

 

◆キタきつねの所感

48日間の逃走において、私が一番興味があったのが逃走ルートでした。その辺りがようやく情報として出てきたのですが、毎日新聞の記事をベースにすると、大阪>淡路島>広島>しまなみ海道>愛媛>高知(※職務質問有)>徳島>香川>しまなみ海道>広島>山口となっていました。

mainichi.jp

 

前回の記事にも書きましたが、逃走資金がもう少しあったら、更に遠くまで逃走されて、それこそ日本一周も夢ではなかったかも知れません。

個人的な疑問では、どうやって自転車で四国に・・・と思っていたのですが、共犯者(車での移動)ではなくて、自転車への監視がゆるいしまなみ海道を使う辺り、考えられた逃走であった事がよく分かります。

diamond.jp

しかし、彼の逃走劇により、残念ながら行政ががんばって努力してきたしまなみ海道も、『お遍路さん』も、事件発生時あるいは不定期に、身分証チェック対象となってしまうかも知れません。なぜなら、四国にいる間は、

樋田容疑者は香川県三豊市高知県田野町の道の駅で、お遍路のような姿で旅しているのを住民らに目撃されている

毎日新聞記事より引用)

とされているからです。

 

樋田容疑者のクレバーなところを考えてみると、捜査陣のプロファイリングがいかに役立たなかったかわかります。

  • バイクと思わせて自転車で逃走
  • サングラス/日焼け/顎鬚で印象を変える
  • 自転車への監視が甘い『しまなみ海道』を2回利用
  • 四国でお遍路さん偽装
  • 別な自転車旅の男を誘い、1名逃走と思っている警察監視網を騙す
  • 外来者や自転車が目立たない道の駅を頻繁に利用
  • 自転車で日本一周と標榜し善意の施しを受ける

意図的でなかった部分もあるかも知れませんが、高知県警も、その自転車旅姿を職務質問で見抜けずにスルーしてしまった事から考えると、彼のソーシャルエンジニアリングの技術に警察は完敗したと言っても良いのかも知れません。

 

勿論、四国の警察もまさか容疑者が四国に居るという前提ではなかったと思います。最初に取り逃がした大阪府警はともかく、高知県警の警察官が必ずしも悪かったとは思えません。

 

唯一『?』と思うところは、身分証を持ってなかったのに、それ以上追求しなかった点でしょうか。よく言えばお遍路さんに寛大であると言えますが、悪く言えば、こうしたクレバーな逃走者にはその善意を利用されてしまうのです。

 

逃走に使われた自転車には衣服のほかに、盗まれたと思われる釣竿まであったので、彼が釣りが上手かったら・・・・色々と考えてしまいますが、

www.fnn.jp

やはり、今回の万引きを捕まえたGメンが居なければ、もっと逃げられていた気がします。

 

foxsecurity.hatenablog.com

お遍路のイラスト

更新履歴

  • 2018年10月7日PM(予約投稿)

サイバー対策不備で24億円の罰金

セキュリティ対策不足への罰金は、GDPRが施行されてからどんどん増額されていますが、善管注意義務的な内容で言えば、英流通の大手テスコに課された額は、今後事件を起こした企業へのベンチマークとなる罰金額となるかも知れません。

headlines.yahoo.co.jp

 英金融行為規制機構(FCA)は1日、スーパー英最大手テスコの金融部門テスコ・バンクが受けた2016年11月のサイバー攻撃を巡り、同行に1,640万ポンドの罰金を科したと発表した。予測できるリスクへの対策を怠った上、攻撃を受けた後の対応にも不備があったため
 このサイバー攻撃は個人の当座預金口座を狙ったもので、8,261件の口座が影響を受け、うち34件の取引により総額226万ポンドが奪われた。テスコ・バンクは全額を口座保有者に返還している。同行は、顧客データの窃盗または紛失はなく、システムへの侵入はなかったと説明している。
 同様のサイバー攻撃の手口については、クレジットカード大手のビザ(VISA)が事前に会員企業に警告していたが、テスコ・バンクはクレジットカードでは対策を取ったもののデビットカードは無防備のままだった。また攻撃が始まって顧客から通報があっても対応が遅れ、最終的には攻撃開始から問題を解決するまで48時間を要した。

(nna記事より引用)

 

◆キタきつねの所感

罰金1640万ポンド(日本円で約24.5億円)はFacebook、Equifax、Uber等のもっとインパクトが大きな事件の訴訟や罰金確定が続いている中では、それほど大きな罰金に見えないのですが、

 

テストの金融部門(テスコ・バンク)は2016年当時、4万口座がハッキング攻撃を受け、8,261件の口座が影響を受け、34件226万ポンド(約3.4億円)が奪われたとされています。

罰金額を口座被害を受けた8,261件で割ると、、、

  • 1640万ポンド/8,261件=1985ポンド(約29.6万円)

直接の被害が発生した34件で考えてしまうと、1件当たりの罰金額は、、、

  • 1640万ポンド/34件=48.2万ポンド(約7,194万円)

になってしまいます。

 

しかし、この罰金額は

 なお、テスコ・バンクはFCAの調査に積極的に協力した上、早期の決着で合意したため、罰金は約3,360万ポンドから減額されている。

(nna記事より引用)

実は半分に減額された結果なので、直接被害1件当たりの罰金額が1億円を超えてしまうというのが、この事件に対する英金融好意規制機構(FCA)の判断です。

 

日本においては、過去の経緯からクレジットカードとデビットカードが別々の会社(カード会社と銀行)で運営されていた経緯があり、同じような事は起こりくいかも知れませんが、ばらばらの運営が故に、同時攻撃を受けると、同じように連携ミスで対応が遅れてしまう事はありえるかも知れません。

 

そうした意味において、予想できる攻撃から顧客を守る事を怠った』事に対して、国やステークホルダーから厳しく問うようになってきている、金融機関はそう考えるべきなのかも知れません。

 

cybersecurity-index.com

銀行強盗のイラスト

 

 

更新履歴

  • 2018年10月7日PM(予約投稿)

セキュリティを丸投げしても事故リスクは変わらない

日経XTECHに名和さんの記事が出ていました。中小企業にも重要情報がある事を経営者は知らないという困った指摘でした。

tech.nikkeibp.co.jp

学ぶ機会のない中小企業

 実際の中小企業のセキュリティ意識はどうなのか。名和氏は今年、40歳未満の中小企業の経営層や管理職が参加する公益社団法人日本青年会議所から個人として委託を受けて、会員1000社を対象に中小企業のサイバーセキュリティに関する意識調査を実施した。ITが自社の業務に必須かを尋ねたところ、「必須」と「一部必須」の合計が95.9%であり、中小企業であってもITと業務が不可分になっていて、インシデントが発生すれば事業停止のリスクを抱えていると分かった。

 セキュリティリスクをどう認識しているかを聞くと、1位は「経営者が経営リスクの1つとして認識している」で47.2%で、2位は「セキュリティリスクがよく分からない」で36.9%だった。経営リスクであるとの認識は広まっているものの、実際にセキュリティリスクの管理体制を構築しているかを質問すると、1位は「考えていない」で61.8%という結果だった。

(日経XTECH記事より引用)

 

◆キタきつねの所感

残念ながらこれが日本の中小企業の現状であり、政府がいくらサイバーセキュリティ経営に誘導しようとしても、少なくても中小企業レベルでは、未だに『コストが・・・』『メリットが・・・』と経営者が考えて尻ごみしてしまっているようです。

また、IT部門が1人情シス的な所も多く、経営者が高齢の場合、ITセキュリティに対する理解度が薄くなり、予算も人も廻ってこない事になっている。そうした実態を踏まえて、

 

まず必要なのは「何をすべきか」「どんな対策をするか」といった直接的な解を示すことではなく、経営層がサイバーセキュリティを我が事として認識できるような情報提供と啓蒙活動だ。(日経XTECH記事より引用)

 

と(記事中で)提言されている部分は、まさにその通りだと思います。

 

この件に関しての、名和さんの攻撃トレンドの発言も興味深いものがあります。

 名和氏は「海外のリポートを分析すると、SNSの広がりとサプライチェーンの末端(中小企業)への攻撃の増加がリンクしている印象だ」と話す。攻撃者は中小企業やその経営者が持つ情報を踏み台にして大企業や官公庁、議員のレピュテーションを下げようとするのだ。「どの人とどの人がつながっているかはSNSマッシュアップツールですぐ分かるし、移動情報も分かる。攻撃者が狙う『本丸』と3ホップで(3人の友だちを介して)つながる数百人を洗い出し、そこに標的型メールを送る。たいていは何人か開く」(名和氏)。アカウントハイジャックにしろドクシングにしろ、中小企業がますます「踏み台」にされているのだ。

(日経XTECH記事より引用)

 

サプライチェーンの踏み台については、日本年金機構でもそうでしたし、最近の標的型メールも関係者のアカウントを詐称あるいは、乗っ取ったものが増えてきています。こうした中で、国や企業の評判を貶める(事故による株価下落)ハッカーの狙いというのは、残念ながら日本においても成功し続けています。

 

記事では、発注元である大企業に対する苦言もかかれています。

 名和氏が「ありえない」と憤るケースがある。再々委託先の十数人の会社が発注元から420項目のセキュリティチェック項目を全て満たすように求められたのだ。名和氏には「書いている項目が分からない」と相談があった。「全部満たすと導入で3000万円、維持で年2000万円はかかる取り組みだった。必須なものもそうでないと思われるものも混在していたが。全て同じウエイトで書かれていた」。

 再々委託先ができない項目を「できない」と戻すと、改善が求められる。これが2回続いたという。

(日経XTECH記事より引用)

自社のサプライチェーンのセキュリティを強化するならば、予算を出すか、ガイドラインを作ったり・研修を主導したり、上記の会社が主導してあげる事がないと、ただ単に事故が発生した際の責任を回避する事だけを考えた、大企業側のエゴ、『責任の丸投げ体質』でしかありません。

それでいてコストダウンを下位の企業に要求するのであれば、下位の企業がどうするかは明白です。アンケートに『やっている(ALL YES)』と書くだけです。つまりサプライチェーンの安全性は書類上では守られている事になりますが、ハッカーから見れば脆弱性だらけでしかなく、標的側攻撃を受ける企業(本丸)の事故リスクはほとんど軽減されません

 

事故は起きる可能性が高く、大企業は自社のサプライチェーンを守るために、中小企業は自分たちのビジネスを守るために、経営層から担当まで、全体のセキュリティについてもう少し考え、防御だけでなく、検知・回復の視点で設計を再検討したり、高リスクへの集中対策、あるいは東京オリンピック予算の活用など、情報と知恵を結集すべき時期なのだと思います。

 

 

重要な書類のイラスト

 

更新履歴

  • 2018年10月7日AM(予約投稿)