常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。

一段目　ITの知識がある人向けの説明
二段目　ITが苦手な経営者に理解してもらえる説明
三段目　小学生にもわかる説明

取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?

一段目 ITの知識がある人向け「サプライチェーン攻撃」の意味

企業はさまざまな商品やサービスを提供する存在ですが、その提供に至るまでの業務が全て自社内で完結している企業は少ないのではないでしょうか。物づくりをするメーカーに限らず、近年はどんな業種でも自社だけで全ての仕事をするのではなく、協力会社や業務委託等の連携を組んで事業を展開しています。こうした企業同士のつながりをサプライチェーンといい、例えば自動車製造では原料調達、部品の製造、車体販売、アフターケアなどの各工程を支えています。

それぞれの分野の専門企業と組み効率的に利益を生み出す構造でもあるこのサプライチェーンが、今、サイバー攻撃の標的となっているのです。

IPAの発表する2019年の情報セキュリティ10大脅威に「サプライチェーン攻撃」が初登場で4位にランクインしています。2018年から急激にこの事例が増えています。

「サプライチェーン攻撃」とは、サプライチェーンに属する企業の中で、最も弱いところを狙って仕掛けられる攻撃です。大企業であれば、セキュリティの重要性を理解しているとともに、しっかりとコストをかけて堅牢なセキュリティを構築していることでしょう。そのような準備の整った大企業を直接攻撃しても、なかなか成功させることは難しくなっています。しかしながら、その発注先や業務委託先の中小企業はどうでしょうか。セキュリティの重要性は理解していても、ある程度までしかコストをかけられないケース、またさらにその先の業務委託先ではもっとセキュリティの認識の甘い企業があるケースも多く見受けられます。

悪意ある者はそうした中小企業に攻撃をしかけ、そこを足掛かりにして、取引のある大企業に被害をもたらすのです。

IPAが実施した「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書によると、被害事例には以下のようなパターンがあります。

・業務委託先の企業に不正侵入され、発注元企業の顧客の個人情報が漏えいしてしまった
・業務委託先のさらに先の委託先企業で悪意ある不正が行われ、重要な機密情報が不正取得されてしまった
・委託先間との作業範囲の認識の行き違いからセキュリティホールができてしまい、個人情報が外部に公開されてしまった

 

また、サプライチェーン攻撃で小さな企業の従業員のアカウントがのっとられ、近年流行りのビジネスメール詐欺やフィッシング詐欺に利用されることもあります。取引先の信用できるアドレスから送られてきたメールであれば、それが乗っ取られているかを毎回確認することはしないでしょう。また、ITサービスで下請けから納品されたプログラムコードにセキュリティホールが紛れ込んでいても、なかなか気づくのは難しいからです。

しかしながら、今後はこうしたケースも考慮してセキュリティを構築しなければなりません。

サプライチェーン攻撃への対策としては、以下が挙げられます。

・業務委託（発注）先企業においてもセキュリティを徹底するよう取り決めを行い、管理する
・信頼できる企業を委託（発注）先として選定する
・事前に企業間でのセキュリティ面で責任範囲を明確にしておく
・委託（発注）先からの納品物の検査を徹底する

 

もちろん、委託される側の企業においてもセキュリティ対策をいっそう強めることが必要となってくるでしょう。調達時の脅威に対応する事をサプライチェーンチェーンリスクマネジメント(Supply Chain Risk Management、SCRM)といい、ISO/IEC 27036ではアウトソーシングの際のセキュリティのガイドラインが規定されています。米国ではNIST SP800-161やNIST IR 7622にてSCRMが定められています。
効果的な対策が取れるようサプライチェーン全体でコミュニケーションをとり合い、相互連携や分担の取り決めを進めていくことが攻撃に対する予防策となります。

 

二段目　ITが苦手な経営者向け

とある派遣企業の社長、深刻な顔で情シスへやってきました。情シスの相武さんが応対します。社長の青い顔、どうやら、昨夜の飲み会で聞いた話が原因のようなのですが……。

社長：「すみませんが、ちょっと相談に乗ってほしいんですけど。」

相武さん：「社長、どうなさったのですか？」

社長：「昨夜、社長仲間との飲み会がありましてね。聞いたんだけど、今、うちみたいな中小企業がサイバー攻撃っていうのに狙われているんだとか。」

相武さん：「ええ。サイバー犯罪は多いですからね。」

社長：「それで、その社長仲間の会社で、情報漏えいが起きたらしいんですよ。それも、自分の会社じゃなくて、取引先の企業の情報がね、その社長の会社を通して漏れたんだって。」

相武さん：「それは大変ですね。」

社長：「そうなんだよ。それで、賠償問題になって、適切なセキュリティ対策をしていなかったっていうんで、高額な請求をされているんだって。」

相武さん：「典型的なサプライチェーン攻撃にやられちゃったんですね。」

社長：「サプライチェーン？攻撃？どういうことですか？」

相武さん：「サプライチェーン攻撃というのは、セキュリティ対策が甘い中小企業を狙ったサイバー攻撃なんです。でも犯罪者の本当の目的は、中小企業じゃなくてその先にいる取引先の大企業なんです。こういう手口では、まず小さな企業のアカウントやシステムをのっとってしまうんです。大企業側も、普段取引している企業相手なら信用して重要な情報を渡してしまったり、重要なシステムにアクセスさせたりすることもあります。その結果、情報漏えいやセキュリティ事故につながるというものです。」

社長：「そう、まさにそれですね…。昨夜、この話を聞いてからいてもたってもいられなくて。うちはどのような対策をしているのでしょう？　高額賠償になるなんてことは…。」

相武さん：「社内システムにハッキングされ、会社IDやメール情報などを盗まれたことでメール偽装され、取引先に送られてしまうなどが考えられるかもしれませんね。そして、うちの場合は派遣事業なので、派遣登録している人のモラル管理が重要でしょうね。もはやサイバー攻撃とは話がずれますが。」

社長：「そうなのだね、何か対策はしてますか？」

相武さん：「システムとしては従業員のアカウント管理を行っていますが、最近はビジネスメール詐欺も多いので、もう少しセキュリティ対策をしたほうがいいかもしれません。」

社長：「やろうやろう！まったく、セキュリティ問題なんて起こしたら信用も失うし、もう大変なんだから。あの社長、顔色悪かったからなあ。」

 

三段目　小学生向け

三郎君は最近、クラスのアイドル蘭ちゃんのことが気になっています。かわいい蘭ちゃんはみんなの人気者でいつもお友達に囲まれていて、ちょっと内気な三郎君はなかなか話しかけることすらできません。

（もともとあんまり仲良くもないのにいきなり話しかけたらびっくりされるだろうし、まわりの女子にも冷やかされるかもしれないなあ。クラスの男子にばれたら、バカにされたりして…。）

と、いつももじもじしてしまう三郎君。でも、蘭ちゃんともっと仲良くなる方法を考えました。

（どうすれば話しかけられるかなあ。あ！　そうだ！）

蘭ちゃんの仲良しグループに、三郎君の近所の幼なじみのチエちゃんがいるのです。三郎君は、チエちゃんに用事があるふりをして、蘭ちゃんのグループに近づいていきました。

「ねえチエ、うちのじいちゃんがチエのじいちゃんとまた一緒に将棋をやりたいって言ってたよ」

「へー、チエちゃんのおじいちゃんと三郎君のおじいちゃん、仲良しなの？」

「蘭ちゃん！　そ、そうなんだ。うちが近所だからさ……」

なんとか蘭ちゃんとの会話に成功しました！

さて三郎君のこの戦法は「将（しょう）を射（い）んと欲すれば、まず馬を射（い）よ」ということわざにあるものです。

武将を射とめようとするなら、まずその乗っている馬を射とめるのがよい。
目的を果たすには、その周囲にあるものから、手をつけていかなければならないことにいう。
コトバンクより

これは、本命にたどり着くにはまずそのまわりのやりやすいところから始めるとよいという意味です。

三郎君の恋の戦法なら思わず応援したくなりますが、残念なことにこういうすぐれた戦法は悪い人に使われることもあります。「サプライチェーン攻撃」もこの戦法を使い、インターネットやITシステムに対して攻撃をするのです。

悪い人は、大きな会社をだましたり会社のシステムをのっとったりしてお金を取ろうとしています。でも、大きな会社はそうした攻撃に対する守りがしっかりしていて、システムをのっとるのは難しいのです。

ですが、大きな会社は、たくさんの小さな会社に仕事をおねがいしたりそこから物を買ったりして一緒に働いています。この協力して働く会社のグループを「サプライチェーン」といいます。このサプライチェーンの小さな会社の中には、セキュリティが弱くのっとりやすいシステムがあるかもしれません。悪い人はそこを手はじめにのっとります。

そして、本当の会社の人のふりをして大きな会社に連絡をします。大きな会社は、相手を知っている人だと思ってだまされてしまうことがあるのです。

 

さて、皆様のご理解は深まったでしょうか？

 

【執筆：編集Gp　星野 美緒】