Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

セキュリティチェーンは性善説

サプライチェーン攻撃に対して日本企業の動きが鈍いとの記事が日経BPに出ていました。

tech.nikkeibp.co.jp

 大企業のサイバー攻撃対策が万全でも、取引先の対策に不備があれば、管理を委託した顧客情報が流出したり、取引先を経由して自社のシステムに侵入されたりといった事態を招きかねない――。政府はこうした危機にいち早く気づき、注意喚起に動いている。経済産業省独立行政法人情報処理推進機構IPA)は2015年に公表した「サイバーセキュリティ経営ガイドライン」で、経営者が認識すべき3原則の2番めに「自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要」と記載した。

 

 しかしながら、日本企業の動きは鈍い。セキュリティ企業の米クラウドストライク(CrowdStrike)が2018年7月に発表した調査によれば、日本を含む世界8カ国で約7割の企業がサプライチェーン攻撃の被害を受け、日本では平均1億円の被害が発生している約8割が深刻さを認識しながらも、対策は後手に回っている特に日本企業の対応は最も遅れている

日経BP記事より引用)

 

◆キタきつねの所感

サプライチェーンを持つ、大企業の方とお話している中では、この調査データに結びつくような反応を示す企業担当者の方は多い気がします。サプライチェーン上位の企業の方々が、下位の企業のセキュリティ対策に対する対応というのは、

 

 ・セキュリティ対策をして下さいと言っている(ので大丈夫だと思っている)

 ・セキュリティ対策のアンケートでは(下位の企業が)セキュリティ対策は実施済みと回答してきている

 ・実地監査はしてない(監査を出来る人材が居ない、または十分な人数が揃ってない)

 

という様な事をおっしゃる方々が多い印象です。

他社の面倒を見る予算がある訳もないし、人も居ない。正直他社の事をやっている前に自社の問題を進めなければならない・・・そんなサプライチェーン上位の企業が多いのは残念な事ではありますが、サプライチェーン下位の企業の現実はどうなっているかと言えば、私の知る限りでは、

「自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要」と記載した。

日経BP記事より引用)

IPAがこう書く必要があると判断した事が物語る様に、「イケテナイ」企業は非常に多いです。アンチウィルスソフト、と年次教育はギリギリ出来ていたとしても、私用USBがまだまだ使える所や、監査ログが極端に短期間(事件起きてもログが残ってない・・・)という所も意外と多い気がします。

サプライチェーン企業は、今まではそうした管理でも被害を受けてこなかったのかも知れません

しかし、最近のサイバー攻撃では、例えばランサムウェアによる業務端末感染拡大で事業への影響(サプライチェーン上位も調達の問題で影響を受ける)であったり、守りの比較的堅い、サプライチェーン上位の企業を攻撃する為に、守りの薄いサプライチェーン下位企業担当者から情報を窃取し、業務を装った0ディの添付ファイルをつけたAPT攻撃・・・といったシナリオは、どの上位企業であっても自社のセキュリティ体制なら「大丈夫」とはいえなくなりつつあるのではないでしょうか。

 

サプライチェーン下位まで含めたセキュリティチェーン(全体)は、性善説(やっているはず、出来ているはず)で目をつぶっている状況ではなく、Trust/Untrustで言えば、サプライチェーン企業まで含めてUntrustで自社のセキュリティ体制を見直すべき段階にきている、そう考える段階なのだと思います。

 

 孟子の似顔絵イラスト

 

更新履歴

  • 2018年8月25日AM(予約投稿)