セキュリティ対策が万全な企業が存在しない「ある理由」

自社のセキュリティ対策をいくら強化したとしても、万全な対策にはならない。なぜならサプライチェーン攻撃は自社ではなく、自社と取引がある他社を通じてこちらに向かってくるからだ。ではサプライチェーン攻撃に遭遇する可能性はどの程度なのだろうか。

[David Jones，Cybersecurity Dive]

　サプライチェーン攻撃はどこか遠い世界の話にも聞こえるが、その認識は間違いだ。

98％の企業は攻撃が「脇をかすめた」状況にある

　SecurityScorecardとCyentia Instituteが2023年2月1日に発表したレポートによると（注1）、全世界の組織の98％はサプライチェーン攻撃が命中しそうな際どい状況にあった。どういう意味だろうか。

　レポートによれば、調査した組織と密接な関係があるサードパーティーベンダーのうち、少なくとも1つが過去2年間に情報漏えいを引き起こしていた。

　SecurityScorecardの調査は、世界の23万5000以上の主要組織と、その組織が直接使用している（またはそのベンダーが使用している）約7万3000のベンダーと製品に関する分析に基づく。

　なぜ98％の組織が影響を受けるのか。それは自社とサードパーティー、そのサードパーティーとつながっているフォースパーティー（第4段階の組織、ベンダーのベンダー）というように組織間の関係をたどっていくと、関連する組織の数が爆発的に増えるからだ。調査によれば、ある組織と関係を持つサードパーティーの平均数は約10社だ。つながりをたどっていくと関係する組織の数は急増する。

　ソフトウェアのサプライチェーンに対する攻撃によって間接的に被害を受ける組織が増えているのはこのためだ。無防備な顧客を危険にさらす脆弱（ぜいじゃく）性や、混乱を招くランサムウェア攻撃は、標的となった当事者だけでなく、下流の顧客にも問題を引き起こす。

　レポートによれば、サードパーティーベンダーのセキュリティレベルは調査対象の組織と比較して低い水準にあった。半数の組織が、過去に侵害を受けた少なくとも200社のフォースパーティーベンダーと間接的に連携していた。

　状況を悪化させている理由の一つは、情報サービス部門が平均25社のベンダーとの関係を維持していることだ。これは全ての業界の中で最も多く、平均値の2.5倍に相当する。サードパーティーが攻撃を受けた場合に影響を受けやすい。なお、ヘルスケア業界は平均15.5社であり、金融業界は平均6.5社と最も少なかった。

対策には可視性が欠かせない

　「潜在的な脆弱性を特定する上で、可視性が障害になる。また、あらゆる分野の組織にとってベンダーとの関係は膨大な数に及んでおり、間接的にサイバーリスクにさらされる危険性が増している」（SecurityScorecardのマイク・ウッドワード氏《データ品質および信頼性担当バイスプレジデント》）

　Black Kiteが発表した別のレポートによると（注2）、2022年中に63のベンダーに対する攻撃が約300社に影響を与えた。平均すると、2021年には1ベンダー当たり2.5社が影響を受けたのに対し、2022年には4.7社が影響を受けた。

　レポートによれば、最も一般的な攻撃ベクトルは不正なネットワークアクセスで、インシデントの40％を占めた。

　Black Kiteのボブ・メイリー氏（CSO《最高セキュリティ責任者》）は、「攻撃に用いられたアクセスの正確な方法は一般に公開されず、すぐには分からない。だが、不正なネットワークアクセスはフィッシングや認証情報の盗難、アクセス制御の脆弱性などが原因となっていたことが多い」と述べる。

　「テレワークの増加により、攻撃される機会が増えている。リモートで働く従業員は通常、ハッカーが簡単に侵入できる公共のアクセス可能なネットワーク上で作業している」（メイリー氏）

出典：98% of organizations worldwide connected to breached third-party vendors（Cybersecurity Dive）

注1：Close Encounters of the Third- (and Fourth-) Party Kind: The Blog

注2：2023 THIRD PARTY DATA BREACH REPORT