サイバーセキュリティの話題の中で今年よく聞かれるようになったキーワードの一つが「サプライチェーン攻撃」です。サプライチェーンというと、製造業における調達、生産、物流といった一連の流れをイメージされるかもしれません。それと同じように、事業運営にかかわる複数の企業のつながり(チェーン)の中で、最もセキュリティが弱いところを狙って行われるのが、サプライチェーン攻撃の一つの典型です。具体的には、まず海外子会社や協力会社のシステムの脆弱性を突き、そこで窃取したアカウント情報を使って大企業に侵入するといったパターンが考えられます。
「うちは独立してお客さんとの直接取引で事業を営んでいるからその心配はない」という企業もあるかもしれませんが、もう一つ注意しなければならないのは、ソフトウェアのサプライチェーンです。第三者が開発したライブラリーやフレームワークを含んだシステムを開発したり利用したりする際に、それら外部のテクノロジーが安全であると保証できるでしょうか。アップデートプログラムを配信する仕組みを乗っ取り、正規のソフトウェアに見せかけてマルウェアを送り込むといった事件も発生しています。
特に、自動車や工場設備、インフラ管理などに導入されたIoTシステムに関して、デバイスやプラットフォームに不正なプログラムが送り込まれると、社会的に甚大な被害につながる恐れがあります。IoTデバイスにはセキュリティソフトなどの対策ツールを導入できないことも多いため、そこで実行されているソフトウェアや、配信されるアップデートが真正なものであることを、外側からチェックするための仕組みが求められます。(日高 彰)
【記事はこちら】
IBCとIIJグローバルがIoTセキュリティ分野で技術提携、「IoTトラストサービス」を提供
