記事をお気に入りリストに登録することができます。
昨今、大手企業を介して、セキュリティ対策に穴の多いサプライヤーや委託先を狙う「サプライチェーン攻撃」が急増している。自社単独でも100%の守りが困難であるのに、より小規模な関連企業に同等の対策を求めるのは、現実離れしていると言えよう。そこで本稿では、サイバーディフェンス研究所で専務理事/上級分析官を務める名和 利男氏に、サプライチェーン攻撃を象徴する4つの事例を紹介してもらいながら、そこから得るべき教訓と、現実的な対策について語ってもらった。
まず知っておくべき「4つの脅威」と「2つの防御」
名和氏は最初に、サプライチェーン攻撃事例を読み解く上で前提となる「攻撃者のタイプと防衛の考え方」を紹介。まず攻撃者には、次の4つの「脅威アクター」が存在するという。
「民間企業や一般団体が国家アクターの攻撃を回避・抑止することは難しく、防止というよりは被害軽減策に重点が置かれます。それ以外の3つは、基本的なセキュリティ対策の徹底で十分に攻撃を防げます」(名和氏)
次は、防衛における考えだ。(1)パッシブ・ディフェンス:ファイアウォール、マルウェア対策など、システムを保護するための基盤、(2)アクティブ・ディフェンス:情報、知識・経験に基づいて将来の攻撃を防ぐための備え、が挙げられる。
この「4つの脅威と2つの守り方」を前提に、ここからは世界各国で発生したサプライチェーン攻撃の中でも象徴的な事例を紹介する。そこから得られる教訓と実践的対策について解説していく。
- (1)国家アクター:特定の使命と高い攻撃スキルを持ち、国家の支援を受けたグループ
- (2)サイバー犯罪グループ:主に金銭獲得を目的に行動し、攻撃スキルのばらつきが大きい
- (3)ハクティビスト:特定の価値観や主張を持ち、DDoS攻撃やウェブサイトの改ざんなど、一般のユーザーが視認しやすい攻撃を好む
- (4)個人のハッカー:その多くが自己承認欲求に基づいて行動する
「民間企業や一般団体が国家アクターの攻撃を回避・抑止することは難しく、防止というよりは被害軽減策に重点が置かれます。それ以外の3つは、基本的なセキュリティ対策の徹底で十分に攻撃を防げます」(名和氏)
次は、防衛における考えだ。(1)パッシブ・ディフェンス:ファイアウォール、マルウェア対策など、システムを保護するための基盤、(2)アクティブ・ディフェンス:情報、知識・経験に基づいて将来の攻撃を防ぐための備え、が挙げられる。
この「4つの脅威と2つの守り方」を前提に、ここからは世界各国で発生したサプライチェーン攻撃の中でも象徴的な事例を紹介する。そこから得られる教訓と実践的対策について解説していく。
この記事の続き >>
・日本も標的に…? サプライチェーン攻撃「4つの事例」
・既存の対策はもう限界? 事例から学ぶ「現実解」
・世界が打ち出す、超・現実的な「4つの対策」
・日本も標的に…? サプライチェーン攻撃「4つの事例」
・既存の対策はもう限界? 事例から学ぶ「現実解」
・世界が打ち出す、超・現実的な「4つの対策」
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ
