サイバーセキュリティにおけるサプライチェーンリスク管理とは？

サイバーセキュリティにおけるサプライチェーンリスク管理は、製品やサービスを提供するために関わるさまざまなプロセスや関係を管理し、セキュリティを確保することを指します。しかし、サイバー攻撃が外部のサプライヤーやパートナー企業をターゲットにすることが増える中、これらのリスクを管理することはますます複雑になっています。そこで登場するのが、サイバーサプライチェーンリスクマネジメント (C-SCRM) です。

C-SCRM（サイバーサプライチェーンリスク管理）とは、サイバーサプライチェーン全体に存在するリスクを特定し、それを評価、軽減、管理するための包括的な取り組みです。

そのため、各組織がサイバーセキュリティにおけるサプライチェーンのリスクを管理することがとても重要になります。

そこで、このブログでは、サプライチェーンとは何か、サイバーセキュリティにおけるサプライチェーンリスク管理が重要な理由やサプライチェーン攻撃の種類や、確認すべき重要なポイントをご紹介します。

そもそもサプライチェーンとは？

サプライチェーンとは、製品やサービスが原材料の調達から最終的に顧客に届くまでの一連の流れを指します。現代の多くの企業では、複数のベンダーや外部パートナーと連携しながら事業を展開しており、そのネットワーク全体がサプライチェーンを構成します。

サプライチェーン内で情報を扱うサードパーティやベンダーが増えるにつれ、リスクも高まっています。

サイバーセキュリティの観点で、このサプライチェーンが脆弱性を抱えるポイントとなることが多く、サプライチェーン攻撃と呼ばれる手法が増加しています。これは、企業自体ではなく、取引先や外部委託先を狙うことで間接的に標的を攻撃する手法です。特にソフトウェアやクラウドサービスの提供元が攻撃されると、その影響が広範囲に及ぶため、適切な対策が不可欠です。

サイバーセキュリティにおけるサプライチェーンリスク管理が重要な理由

現代のビジネス環境では、複数の企業やサービスプロバイダーが連携して業務を進めています。その結果、サプライチェーンの一部が攻撃者の侵入口となるリスクが増大しています。ここでは、サプライチェーンの管理が重要な理由を詳しく解説します。

脆弱性の特定が困難

サプライチェーンには多数の関係者が存在し、それぞれが異なるセキュリティ基準やプロセスを持っています。そのため、どの部分に脆弱性が潜んでいるのかを特定することが難しくなります。特に、外部のサプライヤーやパートナー企業のセキュリティ体制が不十分な場合、攻撃者にとって格好の標的となる可能性があります。たとえば、外部サプライヤーやパートナー企業が特定のシステムにアクセスする際、不必要な権限が譲渡されている場合、攻撃者にその権限を悪用され、特権昇格などのリスクが高まります。こうした脆弱性を見逃すと、自社だけでなく取引先全体に影響を及ぼすリスクがあります。

このような状況では、攻撃が発生した際に、不要な権限を持つアカウントを通じて、他のシステムやデータに水平展開され、不正にアクセスされる可能性があります。

広範囲に被害が及ぶ可能性

サプライチェーンは、複数の企業が密接に連携して構成されているため、一箇所の脆弱性が全体に波及する可能性があります。たとえば、重要なサプライヤーが攻撃を受けると、その影響が自社のシステムやデータ、さらには顧客にまで及ぶことがあります。実際、近年のサプライチェーン攻撃では、一部の企業だけでなく広範囲に被害が拡大した事例が多数報告されています。例えば、大手自動車会社は2022年にサプライヤーの一社がランサムウェア攻撃を受け、その影響で生産ラインが一時的に停止し国内全14工場28ラインの稼働停止したなどの事例があります。そのまま業務がしばらく中断してしまう可能性もあります。

このような攻撃が企業全体に与える影響は甚大であり、リスク管理が不可欠です。

規制遵守の必要性

多くの業界では、サプライチェーン全体のセキュリティ管理が法的な規制や業界標準の一環として求められています。例えば、GDPRやISO 27001などの規制や基準は、サプライチェーン内でのデータ保護やリスク管理の重要性を強調しています。それだけでなく、サプライチェーンの多い製造業では、経済産業省から工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインが制定されています。

これらの規制を遵守しない場合、法的な罰則や顧客からの信頼の喪失といった大きな損失につながる可能性があります。そのため、サプライチェーン全体で規制に適合する体制を整えることが不可欠です。

業務の中断リスク

サプライチェーン攻撃の被害に遭うと、業務の中断を引き起こす可能性があります。特に、製造業や物流業のように、サプライチェーンのスムーズな運営が業務の継続に直結する業界では、このリスクは深刻です。

一例として、サプライヤーがランサムウェア攻撃を受けてシステムが停止した場合、自社も必要な部品やデータを受け取れず、最終製品の納品が遅れる可能性があります。このような中断は、収益の損失だけでなく、顧客との信頼関係の悪化にもつながります。

主要なサプライチェーン攻撃

サプライチェーン攻撃は、組織のサプライチェーンに侵入し、その組織やそのパートナー企業に損害を与えるサイバー攻撃の一種です。ここでは、そんなサプライチェーン攻撃の手口や種類を紹介します。

ソフトウェアサプライチェーン攻撃

ソフトウェアサプライチェーン攻撃は、企業が使用するソフトウェアに悪意のあるコードやバックドアを仕込む手法です。攻撃者は、ソフトウェアの開発プロセスやアップデートシステムを標的にします。たとえば、正規のソフトウェアに不正なコードを組み込んで配布し、利用者がそのソフトウェアをインストールすることで攻撃を成功させます。代表的な事例として、SolarWinds事件では、システム管理ソフトウェアのアップデートにマルウェアが含まれており、多くの企業や政府機関が被害を受けました。

ハードウェアサプライチェーン攻撃

ハードウェアサプライチェーン攻撃は、製造や流通過程でハードウェア自体に不正な改造を施す攻撃です。この攻撃は、デバイスのファームウェアにマルウェアを埋め込んだり、不正なチップを組み込んだりすることで、デバイスが稼働を開始した後に攻撃者がリモートで制御できる状態にします。たとえば、ネットワーク機器やIoTデバイスが悪用されるケースが増えています。ハードウェアサプライチェーン攻撃の一例として、過去に報告されたものでは、サプライチェーンが用意した、端末に不正なチップが埋め込まれており、大手データセンターが影響を受ける事態に発展しました。また、こうした不正に改ざんされたデバイスがネットワークに接続されると、攻撃者によってボットネットの一部として組み込まれる可能性があります。ボットネットは、感染した多数のデバイスを遠隔操作し、DDoS攻撃や不正アクセスの踏み台として利用される手法です。特に、IoTデバイスが狙われやすく、一度ボットネット化されると、企業やインフラに対する大規模な攻撃につながるリスクがあります。

サービスサプライチェーン攻撃

サービスサプライチェーン攻撃は、企業が外部のサービスプロバイダーを利用する際に発生します。クラウドサービス、ITサポート、物流サービスなどの提供者が攻撃者のターゲットになります。攻撃者は、サービスプロバイダーの脆弱性を悪用して顧客企業に侵入し、機密情報を盗んだり、業務を妨害したりします。たとえば、クラウドストレージサービスの設定ミスの脆弱性を狙う攻撃によって、複数の企業のデータが漏洩する被害が発生した事例もあります。

ビジネスサプライチェーン攻撃

ビジネスサプライチェーン攻撃では、取引先や外部パートナー企業との関係を悪用して攻撃が行われます。特に、メール詐欺やビジネスメール詐欺(BEC)が典型的な手法です。

攻撃者は、取引先企業を装い、偽の請求書や振込先情報を送付して金銭を詐取します。

近年では、サプライヤーの内部ネットワークに侵入し、正規の通信を監視・改ざんして取引相手を欺く高度な手法も増えています。

C-SCRM（サイバーサプライチェーンリスク管理）に求められる基本的なベストプラクティス

2022年5月、米国標準技術研究所（NIST）はサイバーセキュリティサプライチェーンリスクマネジメント（C-SCRM）に関する文書「NIST SP 800-161 revision1」を公開しました。この文書は、サプライチェーンにおけるサイバーリスクの管理に関するベストプラクティスやガイドラインを提供しており、企業がどのようにしてサプライチェーン攻撃に備え、リスクを軽減するかを示しています。

サプライチェーン全体にわたるサイバーセキュリティリスクの管理を強化するために、企業にはリスク管理プロセスの特定、評価、選択、実装を行う方法に関する具体的なガイダンスが提供されています。

そこで、組織が優先順位で対応しなければならない、C-SCRM（サイバーサプライチェーンリスク管理）の一部の重要なプラクティスをご紹介します。

• リスクの特定と評価: サプライチェーン内でのデータやシステムのやり取りを詳細に把握し、どのようなサイバーリスクが存在するかを評価します。特にサプライヤーやベンダーのアクセス権を理解し、それに基づいたリスク評価が求められます。

• ガバナンスとポリシーの策定: C-SCRM計画を策定し、リスク管理のための明確なガバナンス体制を確立します。役割と責任を定義し、リスク対応策や管理プロセスを一貫して実行できるようにします。

• サプライチェーン関係者のアクセス管理: サプライチェーンに関わるすべてのスタッフ、請負業者、ベンダー、サプライヤーのシステムアクセス権を管理します。これには、どのベンダーがどのような製品やサービスを提供しているか、またそのアクセス権の範囲を把握することが含まれます。

• サプライチェーン内でのサイバーリスク対応計画: サプライチェーンにおけるリスク軽減のために、各サプライヤーやベンダーを含む復旧計画を策定します。テストや復旧演習を通じて、サプライチェーン全体でのサイバーレジリエンスを強化します。

• 継続的な監視と評価: サプライチェーン内で発生するサイバーリスクに対して、リアルタイムで監視を行い、評価を実施します。これにより、リスク管理の効果を測定し、必要な改善策を講じることができます。

C-SCRM（サイバーサプライチェーンリスク管理）に求められる基本的なベストプラクティスに対応するためには、あらゆるソリューションが必要になります。

その一つのソリューションとして、PAM（特権アクセス管理）は、これらのC-SCRM（サイバーサプライチェーンリスク管理）プラクティスを支援する上で非常に重要な役割を果たします。

PAMが組織のサプライチェーンリスク管理を強化

PAM（特権アクセス管理）は、組織全体のセキュリティ管理を効率化するだけでなく、サプライチェーンの安全性を高める重要な役割を果たします。ここでは、具体的にPAMが組織のサプライチェーンリスク管理をどのように強化するのかご紹介します。

多要素認証をサポート

PAMに統合された多要素認証（MFA）は、サプライチェーン全体の認証基盤を強化するための重要な要素です。特に、MFAを強制させるポリシーを実施することで、特権アカウントや機密データへの不正アクセスを効果的に防ぐことが可能です。

MFAを強制するポリシーを設定することで、特権アカウントへのアクセスは、複数の認証要素を満たさなければ認められません。例えば、通常のパスワードに加え、時間ベースのワンタイムパスワード（TOTP）や生体認証などが含まれ、攻撃者が1つの認証情報を取得しただけではアクセスできない設計になっています。

PAMに統合されたMFAは、特定の条件下で自動的に有効化される柔軟なポリシー設定も可能です。MFAが必須となり、サプライチェーンに関連する内部の従業員なども厳格な認証を経なければアクセスできません。多要素認証をサポートすることによって、サプライチェーンにおける認証プロセス全体が強化され、外部からのサイバー攻撃だけでなく、あなたのパスワードを知り得る内部からの脅威からも未然に保護することを可能にしてくれます。

機密情報を安全なボルトで保護・共有

KeeperPAM®のようなゼロ知識暗号化モデルを搭載したPAMは、組織で共有される機密情報を安全に保管・共有できるボルトを提供し、一元管理を可能にします。

ボルトは、サプライヤーやパートナーと共有するパスワードやアクセス認証情報、アクセスキー、さらにはパスキーなどの重要データをエンドツーエンドで高度な暗号化技術で保護します。その結果、サイバー攻撃や不正アクセスのリスクを最小限に抑えつつ、必要な情報を安全に共有できます。

さらに、KeeperPAMのゼロ知識暗号化モデルは、サービス提供者側の従業員さえもデータが開示されない仕組みを採用しているため、機密性を損なうことなく共有が可能です。

アクセス制御の強化

特権アクセス管理は、サプライチェーン内で特権的なアクセスを持つアカウントの利用を厳密に管理し、リスクを効果的に軽減します。たとえば、サプライヤーやベンダーが特定の業務に必要なリソースにアクセスする場合、PAMを活用することで、誰がどのリソースにアクセスできるかを明確にし、最小権限の原則を簡易に実施できます。さらに、自動SCIMプロビジョニング機能によって、アカウントの作成や管理を効率化し、アクセス権の付与や削除を一貫性のあるアクセス制御が容易になります。

これにより、内部脅威や権限の乱用を防ぎつつ、特定の期間や業務内容に限定したアクセス権限の付与が可能になります。

また、PAMはロールベースのアクセス制御（RBAC）の導入を支援し、各サプライヤーやベンダーに役割に応じた適切なアクセス権を設定することもできます。さらに、ジャストインタイム（JIT）アクセスや自動ローテーション機能を組み合わせることで、必要なときだけ一時的に権限を付与し、不要になれば自動的に削除する運用の実現も可能にします。

セッション管理

セッション管理は、PAMのもう一つの重要な側面であり、サプライチェーンのセキュリティを強化します。PAMソリューションは、特権セッションをリアルタイムで監視・制御し、許可されていない、またはリスクのある行動が迅速に検出され、軽減されるようにします。

KeeperPAMのようなPAMは、クライアントレス（クライアント側に依存しない）およびエージェントレス（エージェントなし）展開モデルをサポートしており、インフラストラクチャに最小限の影響を与えつつ、セッション管理を行うことができます。これにより、システムへの導入が容易で、既存のインフラを変更することなく効率的なセッション管理を実現します。

セッションタイムアウトを強制し、アクティブセッションを監視することにより、ユーザーがログアウトし忘れた場合でも、システムへの不正アクセスを防ぐことができます。さらに、PAMは特権セッション中のすべてのアクションを記録する詳細なセッション録画機能を提供します。

全体の監査と可視化の向上

PAMは、組織における特権アカウントの操作履歴やアクセスログを詳細に記録し、リアルタイムでモニタリングすることで、不審な活動やリスクの高い行動を即座に検知します。この高度な監視体制により、サプライチェーン内の各関係者やプロセスにおける透明性が向上し、セキュリティインシデントが発生した場合でも迅速に原因を特定し、対応することが可能になります。さらに、KeeperPAMのようなPAMはSIEM（セキュリティ情報およびイベント管理）との統合が可能であり、収集したログやイベントデータを一元化して分析することで、より包括的なセキュリティ体制を構築できます。

また、記録されたログデータは、サプライチェーン内でのアクセスや操作の履歴を振り返る貴重な情報源として活用できます。これにより、内部監査や外部監査のプロセスが効率化され、サプライチェーン全体のコンプライアンス対応が強化されます。PAMの導入は、サプライチェーンに関わるすべてのステークホルダーに安心と信頼を提供し、管理体制を大きく向上させる鍵となります。

コンプライアンス対応の支援

PAMは、サプライチェーン全体でコンプライアンスや業界基準に準拠するための基盤を提供します。たとえば、PAMはGDPR、ISO 27001などの基準への対応を支援する機能を備えており、特定のユーザーやベンダーに限定したアクセス権限の付与や、操作ログの自動記録・保存を実現します。このような機能を活用することで、コンプライアンス違反のリスクを低減し、内部統制を強化することが可能です。

特に規制が厳しい業界やグローバルな取引環境において、PAMの導入はサプライチェーン全体の透明性と信頼性を高め、安心して事業を展開するための重要な土台となります。

まとめ：KeeperPAM®︎でサイバーサプライチェーンリスク管理を多角的に強化

サプライチェーンは、特に製造業にとって欠かせない要素ですが、同時にサイバー攻撃のターゲットにもなりやすいリスクの高い領域です。

企業がサプライチェーン全体でサイバーセキュリティを強化するためには、特権アカウントやアクセス管理やアクセス制御の強化が不可欠です。KeeperPAMは、サプライチェーンにおけるリスク管理を向上させるための強力なツールを提供します。

KeeperPAM®︎は、クラウドネイティブのゼロ知識プラットフォームで、組織全体で可視性、認証や認可の向上、セキュリティ、アクセス制御、コンプライアンスを簡単に実現します。

クラウドネイティブのゼロ知識プラットフォームであり、エンタープライズパスワード管理、 シークレット管理、接続管理、ゼロトラストネットワークアクセス、リモートブラウザ分離が単一のインターフェースに統合されています。

サイバーサプライチェーンリスク管理は、単なる技術的な取り組みだけではなく、組織全体での意識向上と戦略的なアプローチが求められます。

KeeperPAMを活用することで、サプライチェーンのセキュリティを一層強化し、リスクの低減を図り、現代のビジネス環境に必要な持続可能なビジネスの実現を支援します。
この機会に、KeeperPAMのデモをリクエストして、サイバーサプライチェーンリスク管理の強化に向けたソリューションをご覧ください。特権アクセス管理の強化、アクセス管理の効率化、アクセス制御の向上、そしてコンプライアンス対応の支援など、KeeperPAMが貴社のサプライチェーン全体のセキュリティ向上にどのように役立つかをご確認いただけます。