5月初週に公表された事案では、大学のNASや不動産業務のクラウド、従業員のメールアカウント、外部サービス基盤を起点とするインシデントが目立った。情シスは自社システムだけでなく、委託先や連携サービス、業務アカウントの管理状況を点検する材料として確認したい。

サプライチェーン攻撃対策では、取引先や委託先への確認をどう定着させるか、自社側の認証や接続管理をどこまで見直すかが大きな論点になる。一度きりのチェックで終わらせるのか、契約や運用にどう組み込むのかで対応の質は変わってくる。

専任情シス不在の中小企業で孤軍奮闘する総務部の佐藤さん。VPNの接続ログを見て背筋を凍らせた。一度認証を通れば社内ネットワークを自由に移動できてしまうVPNの構造が、大きなリスクを抱えていることに気が付いた……。

脆弱性対応は、重要でも後回しになりやすい。中堅・中小企業が限られた人員の中で何を優先し、どんなサービスを選び、どう運用を続けるべきか。セキュリティベンダーや専門家の知見を基に整理する。

サプライチェーン攻撃への警戒は広がっている。だが、今回の調査で見えてきたのは、危機感の高まりに対して対策が思うように進んでいない企業の多さだ。特に、取引先や委託先の状況把握や、どこまで対策を求めるべきかの判断に悩む声が目立った。