企業のサイバーセキュリティ対策「取引先に対するサプライチェーン攻撃」とは？専門家が詳しく解説

サイバー攻撃、最新のトピックスは？

ーーまず、企業をめぐるサイバー攻撃の被害の最新の動向について教えてもらえますか。

遠藤）去年（2024）のトピックスの一つとしては、“取引先企業、特に業務委託先企業への攻撃が原因”のサイバー被害です。次のグラフは、トレンドマイクロが去年まとめた「国内組織におけるサイバー攻撃被害公表件数の推移」※です。2023年から大幅に増加していることがわかります。

国内組織におけるサイバー攻撃被害公表件数の推移

他組織で発生したサイバー攻撃による二次被害の公表件数の推移

自社のIT資産のサイバーセキュリティ対策が万全だったとしても…

ーー具体的には、どんな被害事例があったのでしょうか？

遠藤）自治体や企業のIT関連業務を請け負う企業で去年5月、複数のサーバーやパソコンがランサムウェアに感染し、約50組織の計150万件近くの個人情報が漏えいしたおそれがあることがわかりました。つまり、この企業に業務を委託していた自治体や企業が持つ個人情報が大量に漏えいしたことになります。なお、この企業は、一般財団法人日本情報経済社会推進協会（JIPDEC)から「プライバシーマーク」を付与されていましたが、3カ月間の一時停止措置を受けました。

また、再委託先や再々委託先がランサムウェアに感染した結果、委託元企業の情報が漏えいした事例もありました。この事例でも複数企業の情報が漏えいしましたが、委託関係にない企業の情報が再委託先に渡ってしまい、その結果、関係がない企業の情報が漏えいしてしまったという委託先企業の情報管理の不備も報告されています。

このように、自社のIT資産のセキュリティ対策を万全に行っていたとしても、取引先・業務委託先企業にセキュリティ上の脆弱性がある場合には、深刻な影響を受けるおそれがあることがわかります。

取引先企業のサイバーリスクをどう見つける？

ーー業務を委託している取引先の企業がサイバー攻撃を受けて、自社が保有する個人情報などが漏えいしてしまうような事案は、どうすれば防ぐことができるのでしょうか？

遠藤）これまで見てきたような取引先や業務委託先を狙うようなサイバー攻撃は、「サプライチェーン攻撃」と呼ばれていて、近年、危険性が高まっています。「サプライチェーン攻撃」とは、サプライチェーンを構成する組織やシステム、データなどのつながりを利用して、対策が手薄な企業を経由して標的の企業に不正に侵入する攻撃手法です。

本来の意味でのサプライチェーンとは、製造業などが顧客へ商品を届ける「調達→生産→物流→販売→顧客」までの一連の流れのことを言います。サイバー領域でも同様に取引先とのデジタルデータのやり取りが発生していることから、先ほどの事例のような取引先や業務委託先企業が狙われることがあります。

ただ、最近は標的の企業に侵入するために攻撃するというよりは、対策が手薄な取引先企業を標的にしてランサムウェア感染によって脅迫している、ということが多いようです。

こうした攻撃を防ぐために従来から行われているのは、取引先の企業に対してセキュリティ対策に関するチェックシートを記入させて、セキュリティ対策の実施状況を確認し、不十分な点があれば是正を促すことで、情報セキュリティリスクを減らすという対策です。ただ、この対策には、次の3つの“限界”があります。

• チェックリストの限界
• コスト・リソースの限界
• 強制力の限界

ーーそれぞれについて、詳しく教えてもらえますか。

遠藤）はい、それぞれ説明していきます。

チェックリストの限界

チェックリストによるセキュリティ実施状況の確認は、あくまでも取引先の担当者による“自己申告”ベースになります。そのため手間がかかる割には実態を正確に示していない可能性があり、セキュリティリスクを正確に洗い出せないおそれがあります。

コスト・リソースの限界

取引先のセキュリティ実施状況を確認するとしても、年に1回程度が限界です。企業の中には、少しでもリスクを低減するために実地調査を行っているところもありますが、リソースの少ない取引先を支援するにしても、やはり限界があります。

強制力の限界

たとえ取引先にセキュリティ対策の不備が見つかったとしても、そのリスクの重大度など客観的な指標がない状態で対策を依頼しても、結局は「お願い」にとどまってしまいます。

このように、チェックシートによるセキュリティ対策評価には限界があるため、経済産業省が2023年5月に「サイバー攻撃から自社のIT資産を守るための手法として注目されている」として、導入ガイダンス^※をまとめていて、「ASM（Attack Surface Management／アタックサーフェスマネジメント）」という手法が、今注目されています。

※経済産業の「ASM導入ガイダンス」https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html

ASM（アタックサーフェスマネジメント）とは？

ーーASMとは、どういう手法なのですか？

遠藤）先ほどの経済産業省のガイダンスの中では、ASMを次のように定義しています。

ASMの特徴は、特定の機器だけに限定せずに、インターネットからアクセスできるすべてのデバイスをチェックできる点です。また、チェックの際に特別な「攻撃用のデータ」を使わないため、システムに余計な負担をかけることなく、安全に診断をすることができます。自社が持つIT資産だけでなく、取引先がもつIT資産のセキュリティ脆弱性もチェックすることができるんです。

このため、チェックシートによる確認だけでは難しかった、次のようなリスク把握を行うことができます。

• 自己申告ベースのチェックでは見えなかったセキュリティリスクを可視化
• 取引先のセキュリティリスクを一括で可視化し、傾向の把握や比較が可能に
• 継続的なモニタリングによって、攻撃者よりも先に“弱点”を認識

取引先企業にサイバーリスクが見つかったら…

ーーASMを使った結果、取引先にセキュリティの脆弱性が見つかったら、どのような対応をする必要がありますか？

遠藤）一般的な対応としては、まずは、取引先にすぐに連絡をして、把握したリスク情報を共有報告します。その上で、そのリスクが顕在化した場合の影響度などの情報を共有して、対策を講じるよう依頼することになります。

ただ、いきなり取引先に「ASMを使用してスキャンしたから脆弱性を修正してくれ」と言っても難しい場合があります。ASMは対象システムに影響を与えないためASMを実施することを事前に説明する必要はありませんが、可能であれば事前に「ASMによる診断を実施します」、と説明すると円滑に進むと思われます。また、対象の取引先企業の規模が大きいとIT資産を非常に多く検出することも考えられます。特にグローバル企業（メインのドメイン）に対して実施すると、関連のない海外のIT資産を検出すると思われますので、企業規模、取引規模などを確認し、優先してチェックする取引先を選定する必要があります。

当社でもASMを使った「MS&ADサイバーリスクファインダー」という取引先診断サービスを提供し、取引先の情報セキュリティ対策向上に取り組む企業を支援していますが、このほかにも様々な会社からいろいろなサービスが提供されています。「当社や各社がどのようなサービスを提供していて、どこがどう違うのか知りたい」「まずはどこから手を付けたらいいのか知りたい」など、ASMを活用したサービスについて知りたい企業や組織のみなさんは、ぜひお気軽にご相談ください。

取引先診断サービスを詳しく知りたい「MS&ADサイバーリスクファインダー 取引先診断サービス」

DX進展によるクラウド利用の拡大に加え、コロナ禍によるテレワーク拡大で増加するサイバーリスク。しかしながら、自社全てのIT資産を人手を介し把握・管理するのは容易ではない現実。ASM（Attack Surface Management）サービス「サイバーリスクファインダー」は外部（インターネット）に公開されているサーバやネットワーク機器の情報を収集・分析し、不正侵入経路となりうるポイントの把握とモニタリングを実行できます。

• サービスの詳細はここをクリック