セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

攻撃手法解説:サプライチェーン攻撃

※本記事は2018年9月28日に投稿した記事を追記・修正したものです。

独立行政法人 情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威」では、社会的影響が大きかったと考えられる脅威して「サプライチェーンの脅威」が2年連続で4位にランクインしました。
そこで、今回の攻撃手法解説では、現在注目されている「サプライチェーン攻撃」の手口とその対策についてご紹介します。

サプライチェーン攻撃とは

サプライチェーンとは、商品やサービスを形づくる原材料や部品の調達から、商品やサービスを顧客へ販売するまでの一連のプロセスのことを指します。「サプライチェーン攻撃」とは、このサプライチェーン内の防御が手薄な組織を突破口とし、大企業への侵入を試みる手口です。

中小企業が狙われる理由

「うちの会社に狙われるような情報は無い」と考えている中小企業の方は多いかもしれません。
実際に、中小企業の経営者を対象に実施されたサイバーリスク意識調査では、「自社もサイバー攻撃の対象になる」と認識している企業は1割未満で、セキュリティ対策に必要性を感じている企業も3割未満でした。

しかし、「サプライチェーン攻撃」においては、中小企業こそが恰好の標的となるのです。
大企業の強固なセキュリティを突破することは容易ではありません。そこで攻撃者は、大企業と取引を持つ中小企業を狙います。比較的防御が手薄な中小企業を攻撃し、そこを踏み台として大企業を攻撃するのです。

たとえば、中小企業で大企業とやりとりをしている担当者のメールアカウントを窃取したり、端末を遠隔操作したりすれば、大企業に対してより巧妙な攻撃メールを送ることができます。この場合、受信者側で攻撃メールかどうかを見抜くのは非常に困難です。また、中小企業のセキュリティ対策が手薄だと、中小企業経由で大企業の社内ネットワークに侵入されてしまう可能性もあります。

このように、中小企業にとってサイバー攻撃は決して他人事ではないのです。

サイバー攻撃がもたらす影響

自社で情報漏洩事故が発生したり、サイバー攻撃に利用されたりしたことが分かれば、企業としての法的・道義的責任は免れられません。会社の社会的信用も失われるでしょう。中小企業はサイバー攻撃を自分事として捉え、適切な対策を取る必要があります。

サイバー攻撃の「踏み台」にならないために

サプライチェーンを端緒とする情報漏洩事故が多発する中、取引先のセキュリティ対策について意識するようになった企業も増えたのではないでしょうか。実際に、2019年に大阪商工会議所が全国の中堅・大企業を対象に実施した調査では、サイバー攻撃に対して「中小企業自身が自衛すべき」と回答した企業が全体の6割を占めました。

このように、今やセキュリティ環境を整備することは、自社のセキュリティリスクを減らすだけでなく、企業としての信頼を高めることに直結するといっても過言ではありません。

中小企業が何よりもまず行うべきは、OS やソフトウェアを最新の状態に保つなどの基本的な対策です。その上で、日々出現する新たな脅威への対策が必要です。しかし、「費用不足」や「人手不足」に悩む中小企業の場合、セキュリティ投資に二の足を踏むケースも少なくありません。
その場合、高度な脅威対策が可能なセキュリティ製品を導入することが対策の第一歩となります。

img_cp700_01
Check Point SMB 向けアプライアンス は、エンタープライズレベルのセキュリティ機能を搭載しながら、中小企業様も導入しやすい価格帯を実現。さらに、宝情報のサポートサービスでは、遠隔で UTM の状態を確認、バージョンアップも可能。
セキュリティ担当者不在でも導入した UTM の効果を最大限に活用することができます。

参考(外部サイト)

情報セキュリティ10大脅威 2020|情報処理推進機構(IPA)
「中小企業の経営者のサイバーリスク意識調査2019」(PDF)|一般社団法人 日本損害保険協会
「サプライチェーンにおける取引先のサイバーセキュリティ対策等に関する調査」結果について | 大阪商工会議所

おしらせ

2020年3月13日(金)に NECソリューションイノベータ株式会社様 と 株式会社宝情報 にて共同Webセミナーを開催します。Webセミナーでは、セキュリティ担当者の少ない中小企業様が製品を選定する際のヒントとなるよう、セキュリティ対策製品についてご紹介します。
詳細はこちらの記事をご覧ください。

【Webセミナー】 自社にとって適切なセキュリティ製品・運用方法とは

記事一覧に戻る