宅配業者を装ったフィッシング詐欺は、年々巧妙化してお
サプライチェーン攻撃は、あらゆる業界の組織にとって明白で差し迫った危険ですが、多くの企業はこの脅威を過小評価しています。サプライチェーン攻撃から身を守るためには、組織はベンダーのセキュリティ要件を定め、ゼロトラストモデルを使用し、ソフトウェアの定期的なアップデートを怠らず、インシデント対応計画を準備する必要があります。
ここでは、サプライチェーン攻撃の詳細と、組織がこの種のサイバー攻撃の犠牲になるのを防ぐ方法について説明します。
サプライチェーン攻撃とは?
サプライチェーン攻撃とは、サイバー攻撃の一種で、ソフトウェアやハードウェアのサプライチェーンに脆弱性があるために、組織が侵害されるものです。 ほとんどの場合、この脆弱性はサイバーセキュリティの態勢が脆弱なベンダーに関連しています。
サプライチェーン攻撃では、最初に侵入された企業が最終的なターゲットではありません。実際のターゲットはその企業の顧客やビジネスパートナーです。これが、サプライチェーン攻撃がマネージドサービスプロバイダー (MSP) や \SaaS開発者、その他ソフトウェアやITサービスを販売する組織を攻撃することが多い主な理由です。サイバー犯罪者は、1 つのサービスプロバイダーのネットワークに侵入することで、多国籍企業や政府機関を含む何十、何百、何千もの他の組織に侵入します。サプライヤーだけでなく被害組織も、経済的および風評的な損害を被る可能性があり、その回復が困難となります。
ビジネスプラン14日無料トライアルでKeeperが企業の安全を支えます
サプライチェーン攻撃対策をこの機会に是非!
サプライチェーン攻撃の手口と種類
サプライチェーン攻撃は、組織のサプライチェーンに侵入し、その組織やそのパートナー企業に損害を与えるサイバー攻撃の一種です。ここでは、そんなサプライチェーン攻撃の手口や種類を紹介します。
ソフトウェアサプライチェーン攻撃
ソフトウェアサプライチェーン攻撃では、攻撃者は信頼されている有名なソフトウェアの開発者やプロバイダーを狙い、そのソフトウェア製品に悪意のあるコードを埋め込むことで、最終的に多数のユーザーや組織に影響を及ぼします。例えば、SolarWinds Orionプラットフォームの攻撃の場合、攻撃者はSolarWindsの更新メカニズムを利用して、数千の顧客にマルウェアを配布しました。この攻撃は特に巧妙で、多くの政府機関や大企業が影響を受けたことで注目されました。
この種の攻撃の危険性は、信頼できるソースからのアップデートやソフトウェアという形で直接組織のセキュリティシステム内に侵入してくる点にあります。
ハードウェアサプライチェーン攻撃
ハードウェアサプライチェーン攻撃は、製造過程や流通段階でコンピューターチップやサーバーなどの物理的なハードウェアに悪意のあるコンポーネントやバックドアを組み込むことによって実行されます。この攻撃は、製品がエンドユーザーの手に渡る前に行われるため、通常のセキュリティチェックや検証プロセスを容易に回避できる特徴があります。
例えば、攻撃者は製造過程でチップに悪意のあるコードを埋め込むことができます。これらのチップはその後、コンピューター、スマートフォン、ネットワーク機器などに組み込まれ、広範囲にわたるセキュリティリスクを生じさせます。また、サーバーやネットワーク機器に悪意のあるハードウェアコンポーネントを組み込むことも可能で、これにより攻撃者はリモートからデータにアクセスしたり、システムをコントロールしたりすることができます。
サービスサプライチェーン攻撃
サービスサプライチェーン攻撃は、サードパーティのサービスプロバイダーやベンダーを通じて実行されるサイバー攻撃の一種です。この攻撃では、攻撃者は組織が依存している外部のサービスプロバイダーを狙い、そこを突破口として最終的に目標とする組織にアクセスします。このような攻撃の一般的な例には、クラウドサービスプロバイダー、HR管理システム、会計ソフトウェアのプロバイダーなどがあります。
サービスサプライチェーン攻撃の特徴は、攻撃者が直接的にターゲット組織のシステムに侵入するのではなく、その組織が利用している外部サービスを介して侵入する点にあります。これにより、攻撃者は組織のセキュリティシステムやプロトコルを迂回し、サービスプロバイダー経由で機密情報へのアクセスを得たり、システムを妨害したりすることができます。
ビジネスサプライチェーン攻撃
ビジネスサプライチェーン攻撃は、企業のサプライチェーンにおける複数の企業やサービスが連携する関係を標的にするサイバー攻撃です。この攻撃形態では、攻撃者はサプライチェーン内の一つまたは複数の企業を通じて、最終的にはより大きなターゲット企業へアクセスすることを目指します。例えば、攻撃者はサプライチェーン内の小規模なベンダーやサービスプロバイダーを侵害し、そこから大企業のネットワークに侵入することを試みることがあります。
サプライチェーン攻撃を防ぐ対策と方法
サプライチェーン攻撃を完全に防ぐ方法はありませんが、サプライチェーン攻撃のリスクを軽減するために組織が取るべき手段はいくつかあります。ここで、いくつかご紹介します。
ベンダーのセキュリティ要件を確立する
組織は、ベンダーに対して明確かつ包括的なセキュリティ要件を定め、ベンダーのセキュリティ管理が健全であることを証明するよう主張する必要があります。ベンダーは SOC 2 Type 2、ISO27001、または同様のセキュリティ認証を保持している必要があります。これら 2 つの認証は、ベンダーに機密データを信頼して任せられることを示す、厳格なセキュリティおよびコンプライアンス基準です。
ゼロトラストセキュリティモデルを使用する
ゼロトラストセキュリティアーキテクチャを導入し、各アカウントに強力でユニークなパスワードを使用するといった包括的なパスワードセキュリティ管理を行い、多要素認証 (MFA) をサポートしているすべてのアカウントで多要素認証 (MFA) を有効にし、Enterprise Password Management (EPM) システムを実装します。 ゼロトラストとは、システムやデータにアクセスする前に、すべてのユーザーとデバイスが継続的に認証されることを要求するセキュリティフレームワークです。
特権アクセス管理 (PAM) ソリューションの導入
PAMとは、機密性の高いシステムやデータにアクセスできるアカウントを、組織が管理・保護する方法を指します。従業員がアクセスできるのは、業務に必要なシステムおよびデータだけであり、それ以上にはアクセスすべきではないため、PAM を導入することは組織にとって重要です。 従業員に必要以上のアクセス権が与えられると、組織は内部の脅威や侵害にさらされやすくなり、機密データやシステムが危険にさらされることになります。
KeeperPAM™ のような PAM ソリューションは、ネットワークを適切にセグメント化し、役割ベースのアクセス制御 (RBAC) と最小特権アクセスでユーザー、デバイス、アプリケーションへのアクセスを制御することで、企業がネットワーク内での横の動きを防止するのに役立ちます。
ソフトウェアを最新の状態に保つ
ソフトウェア、ファームウェア、デバイスのアップデートは、あらゆる組織のインフラストラクチャを強化するために不可欠です。これらのアップデートには、既知のセキュリティ脆弱性を修正するパッチが含まれています。ソフトウェアがタイムリーにアップデートされていない場合、サイバー犯罪者はソフトウェアの脆弱性を悪用してサイバー攻撃を仕掛ける可能性があります。
サイバー犯罪者が既知の脆弱性を悪用するのを防ぐため、アップデートが提供されたらすぐにインストールする必要があります。
インシデント対応の計画を準備する
潜在的なサプライチェーン攻撃への備えとして、組織は対応策を準備しておく必要があります。インシデント対応計画は、組織でサイバー攻撃やセキュリティ侵害が発生した場合に遵守すべき手順と責任を概説するものです。
まとめ:サプライチェーン攻撃対策をして組織を守る
サプライチェーン攻撃やその他のサイバー攻撃に晒されるリスクを回避することは、組織や企業を守る上でとても重要なことです。
事前の計画と対策を実施することで、そのリスクを減少させ、被害に遭う可能性や被害にあっても被害を最小に済ませることができます。
先ほども紹介した通り、KeeperPAM™は、エンタープライズパスワード管理(EPM)、Keeper シークレットマネージャー(KSM)、そしてKeeper コネクションマネージャー(KCM)という3つの強力なセキュリティソリューションを一つの統合プラットフォームにまとめたものです。このプラットフォームを活用することで、組織はパスワード、機密情報、リモート接続のセキュリティを効果的に強化することが可能になります。
無料版お試し版を配布しているので、まずは無料体験版をリクエストしてお試しください。