「情報セキュリティ10大脅威」とはIPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は「組織編」がテーマです。

第4位　サプライチェーンの弱点を悪用した攻撃

概要

組織活動を行う上では、業務委託先や取引先、業務利用サービスの提供元など、他の組織と少なからず何らかのかかわりを持っています。そういった一連の組織群のことをサプライチェーンと呼びます。
サプライチェーンの弱点の悪用とは、その一連の組織群の中で情報セキュリティの体制などが比較的弱い組織を攻撃することで、そのほかの企業の情報を盗んだり攻撃したりする手法です。

攻撃の手口として主に2つ挙げられています。

1.　取引先や委託先が保有する機密情報を狙う

本来攻撃者が標的としている企業よりもセキュリティが脆弱な委託先などを攻撃することで、本来の標的先企業の機密情報などを盗み取る手口です。

特に近年業務の外部委託や利用ツールなどの増加と共に、自組織に関わるサプライチェーンが拡大しており被害に遭うリスクも高まっています。

2.　ソフトウェア開発元等を攻撃し、標的を攻撃するための足掛かりとする

現在、業務では「会計ソフト」や「営業支援ソフト」など様々なソフトウェアが利用されています。
そのソフトウェアの開発元などを攻撃して、ソフトウェアのアップデートなどにウイルスを仕込むことで、ソフトウェアのアップデートを行った組織をウイルス感染させ、標的企業に侵入する手法です。

こちらも手口1同様、利用ツールが増加した現在では、それだけリスクが高まっています。

対策

厳格なサプライチェーン選定・管理

この脅威に対策するためには、サプライチェーンをしっかりと選定・管理していくことが何よりも大切です。
まず、自社がどこに業務を委託して、どこと取引をして、どの会社のツールを使っているのかなど、情報漏えいなどのセキュリティインシデントが発生する可能性のある組織をしっかりと洗い出しましょう。

その上で、可能であれば自社が求めるセキュリティレベルに達しているか確認するためのアンケート実施などをしてセキュリティレベルを確認したうえで、サプライチェーンの組織を選定していくことが望まれます。
アンケートが実施できない場合には、ISMSやPマーク、ISMAPなどのセキュリティに関する認証を取得しているか確認することもおすすめです。

まとめ

今回は、「情報セキュリティ10大脅威（組織編）」の第4位をご紹介しました。

業務の外部委託の一般化や外部提供のツール利用が多くなればなるほどリスクが高まる脅威であり、今後も脅威は増大し続けることが考えられます。
自社だけでなく、他社のセキュリティ体制にまで目を向けて、この脅威による被害を受けないようにしましょう。
また弊社サービスセキュリオでは、「サプライチェーンセキュリティ機能」という、委託先や供給者管理やセキュリティチェックを行うことができる機能を提供しています。
ご興味のある方はお気軽にお問合せ下さい。

次回は、「第3位　テレワーク等のニューノーマルな働き方を狙った攻撃」をご紹介します。