サプライチェーン攻撃対策、「これ」を忘れてはいけない

企業は全てのベンダーに厳格なセキュリティ対策を要求し、守らせる必要がある。攻撃される可能性が最も低いツールが、最も大きなリスクをもたらすことがあるからだ。企業の基幹システムや通信インフラ、クラウド、メール、SNS以外にも思わぬ攻撃対象が残っている。一見してITとは無関係な所にわながあるのだ。

[Matt Kapko，Cybersecurity Dive]

　企業はサイバー脅威を防御し、対処することに苦労している。緩い慣行や人材の不足、リソースの偏在などが理由だ。

　中でもサプライチェーンを狙うサイバー脅威が深刻だ。企業の中核的なITインフラにとどまらず、企業活動を支えるあらゆるサプライチェーンが対象になる。このようなサプライチェーンは対策の網から漏れており、全く気付かれないこともある。

　それでもいったん侵入されると、フィッシングやマルウェア、ソーシャルエンジニアリング攻撃、データ盗難、ランサムウェアなどの形で、攻撃が自社に向かってくる。

　そういった状況でも、企業が防御を強化するために取るべき手段が残っていると、アナリストやサイバーセキュリティの専門家がCybersecurity Diveに語った。

　攻撃者はサプライチェーン全体の中から特に弱点を突いてくる。サードパーティーベンダーは、高度なサイバーセキュリティ管理をしている企業よりも簡単に侵入できるため、格好のターゲットになる（注1）。思い込みは禁物だが、テクノロジー企業の方がマーケティングパートナーよりも高いセキュリティ基準を持っている可能性がある。

　テクノロジー関連の調査会社であるFuturum Researchのシニアアナリストでリサーチディレクターのロン・ウェストフォール氏は、「（マーケティングパートナーのような）サードパーティーを経由することで、（テクノロジー企業のような）主要ターゲットを出し抜く手法がある」と言う。

　企業は内部統制やプロセスだけではなく、サードパーティーに対しても自社同様の厳格なセキュリティ対策に従うようなリスク管理スキームを導入する必要があると、ウェストフォール氏は述べている。

　WebサービスAPIを提供するTwilio（注2）やマーケティングオートメーションプラットフォームであるMailchimp（注3）で最近起こったようなサプライチェーン攻撃は、脆弱（ぜいじゃく）性のあるベンダーに対する攻撃が、疑いもなく多くの被害者にあっという間に広がってしまうことを示している。

一見重要でないように見えるサービスをおろそかにしてはいけない

　リスクは目に見える所だけでなく、意外な所に潜んでいることがある。

　テクノロジー関連の市場調査会社Omdiaのシニアアナリストであるカーティス・フランクリン氏は、「私が最近のCISO（最高情報セキュリティ責任者）なら、清掃用具を供給している会社に自動発注の仕組みがないかどうかを調べるだろう」と述べている。

　「想像できる最も目立たないものを絶対に探すべきだ」と同氏は言う。

　2013年のホリデーシーズンに大型百貨店チェーンTargetに侵入し、4000万枚のクレジットカードとデビットカードのデータ、さらに7000万人の顧客データを盗んだサイバー犯罪者は、当初、小売業者の遠隔アクセス可能な暖房、換気、空調システムを通じて不正アクセスした。

　市場調査会社Forrester Researchのシニアアナリストであるアラ・ヴァレンテ氏は次のように話す。「企業は一般に、業務に不可欠とみなされるベンダーからの潜在的なリスクを軽減することに注力する。なぜなら、それらのツールやサービスは、本質的に多くのサイバーセキュリティリスクをもたらすからだ」。

　セキュリティソフトウェアやIPサーバ、金融決済・処理、ネットワークインフラなどの重要なサービスは、侵害された場合、明らかな潜在的脅威となる。

　「残念ながら、ほとんどの企業はITベンダーが供給する以外のテクノロジーについて、同じように深く掘り下げて検討することはない」（ヴァレンテ氏）

　全ての接続において二要素認証をデフォルトで義務付けることによって、企業は潜在的なリスクを軽減できる、と同氏は述べている。

データアクセスポイントの特定と保護

　企業は、サードパーティーのリスク評価をIT中心からデータ中心のアプローチに転換する必要がある。

　「どのような業務部門をサポートするのかではなく、財務情報や顧客記録、知的財産など、どのような種類のデータにアクセスできるのか、という観点から考える必要がある」とヴァレンテ氏は述べている。

　企業は、サードパーティーベンダーのポートフォリオをよく調べて、不要なツールや重複するツールを削減することによって、リスクを抑えることができる。デジタルリスクプロテクションを提供するDigital ShadowsのCISO兼戦略担当バイスプレジデントであるリック・ホランド氏は、「1つで十分なはずのエンドポイント検出・対応ツールを2つも3つも持っている企業があるかもしれない」と述べている。

　さらに、企業はスタック全体を統合するツールを探すべきだ。ほとんどの企業はポイントソリューション（ビジネスの中に存在する単一のユースケースや課題に対処することを目的としたツールやソフトウェア）に投資するべきではない。ポイントソリューションはもう必要ないと」とホランド氏は続ける。

　サードパーティーのリスクを評価するには、スプレッドシートで作った一般的なチェックボックスを超える厳密さや、わずかな違和感を確認する手法が必要だ。

　これには、侵入テストやソフトウェアの部品表の綿密なレビューが含まれるとホランド氏は言う。「これから食べようとする料理の材料は何なのか」をチェックすべきだ。

　さらに、社内のセキュリティ設定やセキュリティ監視の隙間なども、よく精査する必要がある。

　「まだこのような事態を直接経験していない企業が、他の企業の不運から学ぶことを望む」とヴァレンテ氏は述べている。

　「サードパーティーを経由するサイバー攻撃は止まらず、緩むこともないだろうが、ベストプラクティスを順守すれば、これほど蔓延（まんえん）することはないだろう」（ヴァレンテ氏）

出典：Tips for how to safeguard against third-party attacks（Cyberserurity Dive）

注1：Third-party attacks spike as attackers target software connections

注2：Twilio employees duped by text message phishing attack

注3：DigitalOcean, caught in Mailchimp security incident, drops email vendor