サプライチェーンセキュリティのリスクを再確認し、効果的なシステム対策を実現する方法
近年、企業間での緊密な連携が増す中、サプライチェーンのセキュリティは急速に重要性を増しています。しかし、サプライチェーンは多岐にわたるリスクが存在し、これを防ぐには複合的なアプローチが求められます。本記事では、サプライチェーンにおける主なリスクやそれらの対策の基本を解説します。効果的なセキュリティを効率よく実現するための手法や組織体制の整備、リスクアセスメントの実施方法、そして実際のケーススタディを通じて、具体的な対策やシステム導入のポイントを明らかにします。
目次
1. サプライチェーンのリスクとセキュリティの重要性
サプライチェーンとは、商品やサービスが製造、供給、販売される過程全体を指す概念です。例えば、原材料から製品やサービスがエンドユーザーの手に届くまでの一連の流れを指します。この流れは、原材料の調達から製造、輸送、販売、そして最終的な配送に至るまで、多くのステップを経て成り立っています。しかし、それぞれのステップにおいて、異なる特性や役割を持つ多くの関係者が関与しており、それぞれに特有のセキュリティリスクが伴います。主なリスクとセキュリティの目的を見ていきましょう。
1-1. サプライチェーンの主なリスク
サプライチェーンには多種多様なリスクが存在します。運用の面では、製品の品質低下、納期の遅延、あるいは需要予測の不正確さなどがリスクとして挙げられます。物理的リスクとして、天災や交通事故、さらに労働紛争が発生すると、生産や輸送が遅延したり中断されたりする可能性があります。国際的な視点では、地政学的リスクとして、輸送路の政治的な不安定さや関税の変更、貿易の制限が考慮されることがあります。経済的リスクとしては、通貨の変動や物価の上昇、経済危機の影響がサプライチェーンに影響を及ぼすことが考えられます。
特に注意が必要なのが、サイバーセキュリティの観点です。サプライチェーンを構成する外部ベンダーやサプライヤーを通じてのシステム侵入やデータの侵害、情報漏洩には注意が必要です。
1-2. サプライチェーンセキュリティの目的とは
サプライチェーンセキュリティの目的は、ビジネスへの貢献です。
適切なセキュリティ対策の導入により、事業の中断を未然に防ぎ、継続的な運営を実現することが期待されます。また、事前の対策を行うことで、事後の大規模な損害やその修復にかかるコストを大幅に削減できるのです。
サプライチェーンに関する問題が公になると、企業の評判やブランドイメージに影響を及ぼすリスクがありますが、適切な対策によってこのようなリスクも回避できます。さらに、安全かつ効果的なサプライチェーンの確立により、競争優位性も期待できます。
2. サプライチェーンセキュリティを確立するためのステップ
サプライチェーンの代表的なブランドを担う企業だけでなく、構成する各社も含めたセキュリティを確立することは重要ですが、困難さも伴います。GSXでは、全メンバーの防犯意識とリスク認識の共有から始まり、リスクアセスメントを通じて保護すべき情報を特定し、その情報に基づき、組織体制の整備と具体的なセキュリティ対策を実施していくサポートをしています。各ステップでどのようなことが重要になるかを紹介します。
2-1. 防犯意識とリスク認識の共有
サプライチェーンのセキュリティを確保するためには、まず全メンバーが防犯意識とリスク認識を共有することが必要です。第一歩は経営層から始まります。経営者がリスク認識を持たない場合、必要な人的資源や予算の確保が難しくなり、効果的な対策が進められません。従って、経営者の理解を得ることと、そのリスク認識の共有は先行するべき事項となります。多くの企業やグループ会社では、経営会議が定期的に行われ、そこでグループの方針について説明や議論が行われます。このような機会を活用して、リスク認識や防犯意識に関する勉強会を実施すると良いでしょう。また、具体的なインシデント事例を元にした勉強会や、特定のシナリオを使用した経営者も参加するインシデント対応訓練を実施することで、より深い理解と認識の共有が期待できます。
2-2. 守るべき情報を特定するリスクアセスメント
次のステップは、サプライチェーン内の各社に関わるセキュリティの現状を理解することです。各社がどのようにセキュリティ対策を依頼や支援しているのか、それに関する資料や情報を共有し、その中での現存するリスクを明確にしていきます。ただし、各社の対応は様々で、契約のみを結んでいる場合もあれば、具体的なセキュリティ対策が進行中の場合もあります。
リスクの可視化方法としては、聞き取り調査などの確認手法の他に、リスクを明確にするツールの活用も考えられます。例えば、GSXでは「SecurityScorecard(セキュリティスコアカード)」というソリューションを提供しています。これは、攻撃者視点でサプライチェーン全体の脆弱性が外部からどのように見えているかを把握し、継続的にモニタリングするものです。
2-3. 組織体制の整備
守るべき対象を明らかにしたら、組織体制の整備に焦点を当てます。サプライチェーンの各社は、セキュリティ対策の依頼だけでなく、インシデントが発生した際に迅速に対応するための「CSIRT」のような体制の構築が求められます。多くのサプライチェーンでは、このような体制が形式的に整備されていないことが多いです。しかし、迅速で効果的な対応のためには、この体制の整備が不可欠です。さらに、この体制の整備は、資本関係のある子会社だけでなく、資本関係のない委託先やクラウドサービス提供者に対する評価を含む全体的なサプライチェーンの管理を目的としています。
2-4. システム対策
組織体制が整った後、それを強化・サポートするためのシステムの導入を進めます。例えば子会社のセキュリティを強化するための出入口対策やエンドポイント対策などを進めます。実際には、多くの関連会社や子会社で、異なるセキュリティツールが導入されているか、あるいは適切に運用されていない場面もあるため、こうしたツールを一元的に管理することが推奨されます。監視やインシデント検知、対応を整備することで、セキュリティ専門家がいない子会社などでも、セキュリティレベルを保つことが期待できます。
2-5. 関係者への周知・教育
サプライチェーンセキュリティの確立のための5番目のステップにおいて、技術的な対策やシステムの導入を基盤として、関係者全員の意識や行動も重要であることが強調されています。技術的には守ることができても、各関係者の意識が低ければ、セキュリティ漏洩のリスクが高まります。そこで、周知や教育活動を通じて、一人ひとりがセキュリティに気をつけることが求められています。
将来の運用を考えると、各企業や関連会社は自身の役割を果たす必要がありますが、強力なリーダーシップやサポートがある大手企業が主導し、必要なツールの提供や費用の調整を行うことで、全体のセキュリティレベルを向上させるアプローチが現実的で効果的であるとされています。
3. ランサムウェア被害を受けた企業グループのケーススタディ
連結売上500億円、国内外に30社、総勢3000人といった規模の製造業グループが直面したサプライチェーンセキュリティの課題への対応ケースを紹介します。(多数のGSX支援実績より、本コラム向けに整理したケースです)
3-1. 被害の概要と本体の対策
コロナ禍の2021年ごろ、この製造業グループの本体がランサムウェアによる攻撃を受けました。当時、10年以上前に策定したセキュリティポリシーがあり年1回のセキュリティ委員会を開催していました。しかし、クラウド利用やテレワークが進展し、新しくなったビジネス環境へのセキュリティ管理が手薄でした。その結果、VPN認証が突破され、マルウェアの攻撃を受け、情報システムが大きく影響を受けました。この事態を受けて、この企業では以下のような対策を1年かけて実施しました。
- 全社員を対象とした最新のセキュリティ教育の実施
- CSIRTによる情報の収集とセキュリティ策の提案
- サーバやネットワーク機器の脆弱性を管理するプロセスの確立
- EDR(Endpoint Detection and Response)とMDR(Managed Detection and Response)の導入、及びWindows Defenderへの変更
- テレワークを含むクラウドプロキシの導入、不審な通信の監視を強化
- インシデント対応訓練の実施
3-2. サプライチェーンを構成するグループ各社の対策
翌年、本体だけでなく、グループ全体にもセキュリティ対策を強化するべく次の施策を展開しました。
- グループ全体にセキュリティポリシー、委員会、及びCSIRTを拡大。
- サプライチェーンの委託先へのセキュリティアンケートや監査を開始。
- グループ内のサーバとネットワーク機器の脆弱性管理を実施(最初に棚卸し)。
- EDRを全グループ企業のサーバやPCに導入。導入スケジュールは1年間で順次実施、対象企業の優先度やライセンス期限等を考慮。
- クラウドプロキシを全グループ企業のPCに導入。翌年の導入スケジュールを策定。
- グループ全体のメールアカウント利用者を対象に、標的型攻撃メール訓練とeラーニングを実施。
その後もクラウドプロキシの全面展開、脆弱性管理の強化、そして横断的なインシデント対応訓練などが予定されています。
4. システム対策のポイント
先に挙げたケースでは、EDRを全グループに導入しています。これは、コンピュータやスマートフォン、サーバなどのデバイスにおける脅威の検出と対応を目的としたツールです。他にも、SWG (Secure Web Gateway)により、ウェブトラフィックの監視、フィルタリングを導入し、サプライチェーン全体のインターネット利用を安全にする出入口対策や、それらツールのログを統合的に分析・監視するSIEMやUEBAなどのツールもあります。サプライチェーンを構成するグループ全体へのこれらシステム対策ツール導入は有効ですが、いくつかの注意が必要です。導入タイミングの適切な調整、コスト按分、そして持続可能な運用管理体制の構築などの効果的なアプローチについて紹介します。
4-1. 段階的な導入
グループ各社にシステム対策ツールを導入する際、無理なく段階的に導入する方法が考えられます。これは、各社の環境が違い、誤検知のホワイトリスト登録などの対応集中を避けるなどの考慮です。最初は優先度の高い組織から導入を進め、知見を積み重ねながら段階的に拡大していきましょう。また、いくつかの組織ではすでにアンチウィルス等他のセキュリティツールを導入している場合があるので、事前に機能やライセンス期限を確認し、整理しておくことも重要です。
4-2. コスト按分について
システム対策ツールについて、グループ企業のトップなど、主要な組織がブランドイメージを守る費用として一定の負担をすることで、各社にとってもコストの利点が生まれます。過度な利益供与とみなされない程度に、専門家の意見を取り入れましょう。
4-3. 運用管理体制について
サプライチェーンセキュリティの管理もトップに位置する組織が主導すべきです。そして、サプライチェーン全体のセキュリティ監視や対応にリソースが限られる場合、MDRの導入をおすすめします。MDRは専門家による組織のIT環境の監視と脅威の迅速な対応を提供するサービスです。小規模な組織であっても、高度なセキュリティ対策を適用できます。
コストの面からサプライチェーン全体への適用が難しい場合、サプライチェーンの中で最も重要な部分だけにMDRを導入するというアプローチも考えられます。重要度が低い組織については脅威のアラートを直接全体の管理者受け取って、必要に応じて外部に調査を依頼する等、ある程度スピードを犠牲にするというやり方もあります。
5. サプライチェーンセキュリティの見える化や対策はGSXへ
本稿の事例でも紹介したように、深刻なサイバーインシデントの被害にあった組織は、防犯意識とリスク認識が強まります。しかし、時間が経つとこのリスク認識は徐々に薄れてしまうため、継続が必要です。また、サプライチェーン内で深刻なインシデントが発生していないグループは、防犯意識やリスク認識を持ちにくいです。いずれの場合でも、リスクを具体的に示して全体で共有していくアプローチが重要となるでしょう。GSXでは、サプライチェーンセキュリティの活動を支援するため、次のようなサービスを提供しています。ぜひご相談ください。
SecurityScorecard
外部からの視点で自社や取引先(委託先、グループ会社、投資先など)のセキュリティ弱点を確認し、継続的に監視するソリューションです。これにより、「より安全で攻撃を受けにくい環境」を持続的に保つことができます。
CrowdStrike
すべてのエンドポイントの振る舞いを監視し、標的型攻撃をリアルタイムで検知するエンドポイント保護ツール(EDR+NGAV)及び監視・対応支援サービス(MDR)です。EDR+NGAVは、マルウェア防御に加え、機械学習、人工知能などの技術を使用してエンドポイントを保護する対策ツールです。また、EDR+NGAVにより検知・ブロックされたセキュリティ侵害の痕跡を分析し、具体的な影響の把握、当該エンドポイントの隔離による脅威の拡散抑止、脅威除去および復旧支援を行うMDRサービスも提供しています。
i-FILTER@Cloud
業務におけるクラウド利用やリモートで稼働するユーザの行動を管理・可視化し、サイバー攻撃の脅威や情報漏洩のリスクから企業を守る国内導入シェアNo.1※のSWG(セキュア・ウェブ・ゲート)です。
WebフィルタリングはDBに登録されたURLのみアクセスを許可するホワイトリスト方式で安全なWebアクセスを提供。クラウドサービスの利用も監視や、SNSやオンライストレージなど国内外の1,700以上のSaaS/Webサービスの機能制御が可能です。
※「ITR Market View:サイバーセキュリティ対策市場2021」「2019年度 URLフィルタリング市場:ベンダー別売上金額シェア」にて1位
Cloudflare
企業活動において利用される様々なクラウドツールやWebサービスへのトラフィックを監視、既知および未知の脅威から保護します。DNSフィルタリング、HTTPフィルタリング、L4ファイアウォールフィルタリング等、必要十分な機能を有しつつも、比較的安価で導入しやすいSWGです。
詳細は以下よりお問い合わせください。
Netskope
ネットワーク、セキュリティ、アプリケーション、データの4つのトランスフォーメーションステージを通してゼロトラストを提供する高機能なSWGです。場所やデバイスを問わず、クラウドサービスやウェブサイト、プライベートアプリにアクセスする際に優れた可視性によるリアルタイムデータの保護と脅威防御を実現します。
詳細は以下よりお問い合わせください。
ALog
ALogは様々なITシステムの記録(ログ)を集約・自動分析するSIEM(ログ管理ツール)です。
企業で利用されるITシステムにおいて、オンプレ / クラウド問わずログデータを収集し、複雑で分かりづらいログを分かりやすく変換、ログ内容をAIが判断しセキュリティリスクを自動でスコアリングします。また、これらのログを効果的に活用できるレポート定義なども標準で付属している、比較的安価で導入しやすいSIEMです。
詳細は以下よりお問い合わせください。
Exabeam
従来のSIEMでは運用が複雑かつ専門知識が必要でしたが、UEBA(ユーザとエンティティの行動分析)による検知ルールの自動作成・ログ解析の自動化により、SIEM運用工数の大幅削減を可能にする高機能なソリューションです。UEBAはAIを利用してユーザや機器のエンティティの振る舞いから、通常行動とそれと異なる異常行動を学習し、異常行動そのものおよびその兆候がセキュリティに影響するか否かの推定をします。
ExabeamはこのUEBAと連携したSIEMをクラウド上に構築するためユーザ環境での導入準備を必要としないメリットもあります。
6. 最後に
今回のコラムでは「サプライチェーン」を取り上げました。最後までご覧いただきありがとうございました。本コラムが課題解決にお役に立てば幸いです。
本テーマに関してご相談がございましたら、ページ右上の「お問い合わせ」からお気軽にご連絡ください。