記事をお気に入りリストに登録することができます。
ビジネスはさまざまな企業間の取引による一連の流れ「サプライチェーン」によって成り立っている。昨今ではそこに潜む脆弱性を狙ったサイバー攻撃が増加し、被害が深刻化してきている。こうした課題に対して、企業はどのような解決策を講じる必要があるのか。企業のセキュリティ診断やコンサルティング、セキュリティに関する社員教育を提供しているEGセキュアソリューションズ 取締役 CTOの徳丸浩氏が語った。
脅威増す「サプライチェーン攻撃」、企業は何ができるか
現代のビジネスは、さまざまなITツールや情報システムを通じた取引先や関係会社、協力会社とやり取りを含むビジネスプロセスの上に成り立っている。ここに、数々のセキュリティ上のリスクが存在している。
たとえば、子会社や取引先のネットワーク機器に脆弱性があれば、サイバー犯罪者はそれを足掛かりにサプライチェーン全体を対象とした攻撃を仕掛ける。また、脆弱性の残るオープンソースソフトウェア(OSS)を利用している企業がサプライチェーン上に存在する場合も、サイバー攻撃の被害に遭うリスクがある。
サプライチェーンに関するセキュリティの重要性は以前から説かれてきた。たとえば、個人情報の保護に関する法律(平成15年法律第57号)の第22条には、委託先の監督義務として「個人情報取り扱い事業者は、データの取り扱いを委託する場合にデータの安全管理が図られるように、必要かつ適切な監督を行わなければならない」と記載されている。
このように監督義務が明文化されている一方、IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」には、2019年以降毎年「サプライチェーンの弱点を悪用した攻撃の高まり」が上位にランクインしている。
徳丸氏は、「サプライチェーンに関するセキュリティの問題は、近年大きく取り上げられています。IPAが発表している10大脅威の上位には、サプライチェーンの弱点を悪用した攻撃の高まりに加えて、標的型攻撃やランサムウェア攻撃に関する項目も入っています。これらは1つの課題とみなして包括的に対策すべきです」と語る。では、具体的にどのような手段を講じるべきなのか。
たとえば、子会社や取引先のネットワーク機器に脆弱性があれば、サイバー犯罪者はそれを足掛かりにサプライチェーン全体を対象とした攻撃を仕掛ける。また、脆弱性の残るオープンソースソフトウェア(OSS)を利用している企業がサプライチェーン上に存在する場合も、サイバー攻撃の被害に遭うリスクがある。
サプライチェーンに関するセキュリティの重要性は以前から説かれてきた。たとえば、個人情報の保護に関する法律(平成15年法律第57号)の第22条には、委託先の監督義務として「個人情報取り扱い事業者は、データの取り扱いを委託する場合にデータの安全管理が図られるように、必要かつ適切な監督を行わなければならない」と記載されている。
このように監督義務が明文化されている一方、IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」には、2019年以降毎年「サプライチェーンの弱点を悪用した攻撃の高まり」が上位にランクインしている。
徳丸氏は、「サプライチェーンに関するセキュリティの問題は、近年大きく取り上げられています。IPAが発表している10大脅威の上位には、サプライチェーンの弱点を悪用した攻撃の高まりに加えて、標的型攻撃やランサムウェア攻撃に関する項目も入っています。これらは1つの課題とみなして包括的に対策すべきです」と語る。では、具体的にどのような手段を講じるべきなのか。
この記事の続き >>
・富士通の不正アクセスは防げた? なぜトヨタは生産停止に? 4つの事件から学べること
・セキュリティチェックシートは負担が増えるだけ? 残念すぎる現状
・「かたちだけ」じゃない、セキュリティチェックシートの効果的な活用法
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ
