サプライチェーン攻撃と恐ろしさ

「サプライチェーン攻撃」とは、攻撃者がターゲット企業を直接狙うのではなく、取引先や業務を支える外部サービスを通じて侵入してくる手口です。たとえば、請求書システムやソフトウェア更新、部品供給など、普段何気なく使っている「信頼している相手」が突破口になります。
例えるなら、「泥棒は正面玄関ではなく、家族や業者に化けて裏口から入ってくる」ようなものです。
信頼している相手だから何も気にしない。だから侵入されるのです。

サプライチェーン攻撃の最大の特徴は、「自社が攻撃対象でなくても『取引先』『供給元』が突破されることで、侵入ルートとなる点」です。
2つ目に、被害範囲が大きく特定する難易度も高いため、発見までに時間がかかることが多く、「侵害されたことに気付かないことがほとんどな点」です。

自社でどれだけ強固な防御を敷いても、最も弱い環から崩壊してしまう。これがサプライチェーン攻撃の恐ろしさであり、サプライチェーン全体でセキュリティ意識を高めなければならない現実なのです。

被害者から加害者になるリスク

サプライチェーン攻撃の恐ろしさは、自社が被害者になるだけでは終わらない点にあります。侵入を許してしまった企業は、知らぬ間に攻撃者の踏み台となり、取引先や顧客へと攻撃を拡散させてしまう可能性があるのです。つまり「被害者」であるはずの自社が、結果的に「加害者」として他社に損害を与えてしまうリスクを抱えています。

このような事態に陥れば、信用の失墜や契約解除、さらには法的責任の追及にまで発展しかねません。

たとえば、社内のメールアカウントが乗っ取られ、取引先に偽の請求書や不正なリンクを送ってしまうケースがあります。取引先は「信頼できる相手からの連絡」と思い込んで開封し、結果として被害が拡大してしまうのです。こうした連鎖的な被害は、サプライチェーン全体に深刻な影響を及ぼします。

自社のセキュリティ意識が低いままでは、攻撃者にとって格好の入り口となり、結果として大企業や公共機関など、より大きな標的への足掛かりを提供してしまいます。これは単なる自社の損失にとどまらず、社会的責任を問われる重大な事態です。

つまり、サプライチェーン攻撃は「自社だけの問題」ではなく、「取引先や顧客を巻き込む問題」なのです。被害者から加害者へと立場が変わるリスクを理解し、取引先を守る意識を持つことこそが、セキュリティ対策の本質と言えるでしょう。

身近なサプライチェーン

今まではビジネスプロセス目線のお話でしたが、個人目線で考えてみましょう。

• 私たちは、当たり前のように販売店からお金を払ってものを買います。
• 販売店は、販売するものを大手製造業者から仕入れて販売しています。
• 大手製造業者は、材料を仕入、その材料を使って販売するものを作ります。
• 材料は、食品であれば農家や食品メーカー、機械であれば部品メーカーが生産し、製造業者に販売しています。
• この間のものの動きには、物を運ぶ物流が存在します。

この流れもサプライチェーンなのですが、ここで大手製造業者がサイバー攻撃で出荷停止になったとしましょう。
販売店はものを仕入れることが出来ず販売できなくなり、陳列棚を開けるわけにはいかないので、別商品を並べます。
さらには、販売店にものが並ばなかったら、欲しくても買えない。もしくは、別のメーカーの商品に鞍替えします。

ここまでは当たり前の話です。
が、ここからは大手製造業者もしくはその関連会社としての視点に切り替えて考えてみると、以下のことが見えてきます。

• 個人の商品鞍替え・・・商品離れ。売上減少。ブランド力低下。
• 売店の商品替え・・・売上減少。ブランド力低下。
• 大手製造業者からの発注停止・・・売上減少。企業存続危機。別販路への舵切り（時間が掛かる）

冒頭部分の文面を思い返してみてください。
“わずか一社が侵害されただけで、取引全体が止まり、信用・契約・売上に直結した損失を招く可能性があります。”

まさにこれが、サプライチェーン攻撃による負の連鎖なのです。

サプライチェーン攻撃から守る対策

サプライチェーン攻撃から守る対策として、「高価・高機能な機器を導入すれば防ぐことが可能」と考える方はいらっしゃると思いますが、そのような「魔法の杖」は存在しません。

いきなり何を言っているのか、と思われるかもしれませんが、これが現実なのです。
もう少し言えば、「情報セキュリティ対策に100％は存在しない」のです。
まず、この事実を理解することが、対策の第一歩となります。

ただし、「情報セキュリティ対策に100％は存在しない」とは言え、100％に少しでも近づけることは可能です。
日々の運用や意識の積み重ねこそが、サプライチェーン攻撃から自社と取引先を守る最大の力となります。

日本デジコムがご提案する情報セキュリティ対策

当社は、情報セキュリティ対策のコストとして、大きく分けて2つ存在すると考えています。

ひとつは、ウイルス対策ソフトや攻撃対策機能を有した機器に掛ける「機械的なコスト」と、もうひとつは、従業員一人ひとりの意識や行動を高めるための「人のコスト」です。

機械的なコストは、費用を掛ければ掛けるほど対策としては強固にはなります。
が、企業によって掛けられるコストが違うことが課題であることと、機械的なコストだけでは対策は不十分と考えています。
かたや人のコストは、情報セキュリティに対する意識強化であり、当社は人のコストを重要視しています。

＜具体的な意識強化対策例＞

• 取引先とのセキュリティルール共有
  契約書や覚書に「セキュリティ要件」を明記し、最低限の対策を取引先と共通認識にする。
• アクセス権限の最小化
  社員や外部委託先に与える権限は必要最小限にし、不要なアカウントは速やかに削除する。
• 従業員教育・啓発活動
  フィッシングメールの見分け方や不審な添付ファイルの扱い方など、定期的な研修を実施する。
• インシデント対応体制の整備
  万が一侵害が発生した場合に備え、連絡経路や初動対応の手順を事前に決めておく。

これらをウイルス対策ソフトなどの機械的な対策を組み合わせることで「100％安全」はなくても、リスクを大幅に減らすことが可能です。

セキュリティ事故の発生は、社内の内発的な動作や考え方であり、それを対策することが情報セキュリティ対策の土台となると考えております。

情報セキュリティ対策と言ってもその対策方法は企業によって様々であり、当社は貴社のご事情を鑑み、そのお手伝いをさせていただくためのサービスをご提供いたします。

「どこから手をつければいいのか分からない」
「今の対策が十分なのか不安」
そんな段階からでも大歓迎です。

貴社のセキュリティを”無理なく、確実に”強くするためのお手伝いを、ぜひ日本デジコムにおまかせください。