ターゲットとなる企業の関連会社や取引先を踏み台としてサイバー攻撃を加える「サプライチェーン攻撃」の被害が、国内でもいよいよ顕在化している。自社のセキュリティ対策をいかに万全に講じたとしても、事業の継続に重大な影響を与えるリスクは避けられない情勢だ。企業はサプライチェーンのセキュリティをどのようにとらえ、安全性を高めていくべきか。現状と対策を考える。
（取材・文／日高彰、岩田晃久）
 

四つの類型が存在

　セキュリティが強固な企業を直接攻撃するのではなく、その関連会社や取引先などの外部組織を通じて侵入や情報の窃取を行うケースが近年目立つようになっている。一般に製造業では、商品の開発、製造、物流、販売といった一連の流れをサプライチェーンと呼ぶが、前述のような外部を狙ったサイバー攻撃は、まさにこのサプライチェーンの中に潜む脆弱な箇所を突いて目的となる情報を奪おうとする試みであるため、「サプライチェーン攻撃」と呼ばれている。

　情報処理推進機構は、毎年発表している「情報セキュリティ10大脅威」において、2019年1月に発表したランキングの中で、サプライチェーンにおけるセキュリティ上のリスクについて初めて言及している。業務委託先での個人情報漏えいの恐れを念頭に置いたものだったが、近年そのリスクはより重大なものとして考えられるようになってきている。
 
　三菱総合研究所デジタル・イノベーション本部でサイバーセキュリティ戦略を担当する平野賢一・主任研究員によれば、サプライチェーンにおけるセキュリティ上のリスクは四つの類型に大別できるという。

　まず一つめが、「取引先から自社の情報が漏えいする」パターン。これは先に挙げた業務委託先における情報漏えいなどを指している。以前から繰り返し事故が発生しているが、今年6月に兵庫県尼崎市で、全市民の情報が入ったUSBメモリの紛失事件が発生したことで、リスクが再認識された。この事件は、市の業務の委託先ではなく再々委託先の社員がUSBメモリを紛失したものだったが、委託元の市はそのような委託構造を認識していなかったのではないかとも指摘されている。このような業務委託の場合だけでなく、例えばハードディスクなどの記録媒体を廃棄する際に、媒体を引き取った業者が適切なデータ消去処理を行っていなかったといったケースもこのパターンに分類される。

　次は「取引先を経由してサイバー攻撃される」場合で、これは大企業が被害の対象となるケースが多い。近年の攻撃被害の多発を受けて、大企業の本体のセキュリティレベルは大きく向上しており、侵入が難しくなっている。このため、防御が手薄なグループ会社や取引先が標的型攻撃のターゲットとなることが増えており、大企業単独の取り組みでは侵入経路を防ぎきれない点が課題となっている。商流に直接携わる関連会社や取引先への攻撃だけでなく、業務システムの運用を社外に委託していた企業が、委託先の設置したリモートメンテナンス用の回線を経由して侵入されたといった事例も発生している。

　三つめは「取引先のサイバー被害が事業被害として波及する」ケース。自社やグループ会社は攻撃を受けていないにもかかわらず、取引先がサイバー攻撃によって操業停止したことで、材料の納入が途絶え自社の事業もストップしてしまうといった例だ。あらゆる企業でサイバー攻撃の被害が増えていることで、このような被害は拡大する可能性があり、システム上の連携がない企業の間でもサプライチェーンセキュリティを考慮する必要がある。

　最後は上記3点のリスクとは観点が異なるが、「製品や社内システムに使用されているソフトウェアの安全性」についての懸念がある。昨年12月、さまざまなソフトウェアに使用されているライブラリの「Log4j」に深刻な脆弱性が発見されたことが大きく報じられたが、ユーザーは自社が使っているIT製品のどの部分でどんな技術が使われているかを把握するのが難しくなっている。海外製のソフトウェアにセキュリティ上の穴が意図的に設けられていたり、重要度の高いコンポーネントの提供が突然停止してしまったりする恐れもある。

続々生まれるガイドライン

　このようなリスクに対し、制度的な枠組みを持って対処しようという動きも加速している。平野主任研究員は米国における代表的な取り組みとして、NIST（国立標準技術研究所）が20年2月に公開した国防調達におけるガイドライン「SP800-171 rev.2」や、それを取り込んだ認証制度「CMMC（Cybersecurity Maturity Model Certification）」を挙げ、多層的な委託構造においてもセキュリティを確保するため、具体的な基準の運用が進んでいることを紹介する。

　国内でも18年12月に政府のIT調達方針で「サプライチェーン・リスクに対応」することが求められたほか、防衛装備庁は23年度の契約から米国のSP800-171を参考にした「防衛産業サイバーセキュリティ基準」を適用することを発表している。また、日本自動車工業会と日本自動車部品工業会は、業界独自のサイバーセキュリティガイドラインを20年5月に策定し、自動車メーカーやそのグループだけにとどまらず、部品納入業者を含むサプライチェーン全体でセキュリティリスクを管理するための仕組みを整えようとしている。

対策実施は3割にとどまる

　エンドポイント管理製品などを提供する米Tanium（タニウム）の日本法人は、従業員数1000人以上の国内企業を対象に「サプライチェーンリスクに関する市場調査」を実施した。「サプライチェーンリスク対策の必要性を認識しており、対策も実施している」と回答した企業は29％にとどまり、7割を超える企業で対策がなされていない現状が明らかになった。

　一方で、3月にトヨタ自動車（トヨタ）の取引先部品メーカーの小島プレス工業がサイバー攻撃を受けサーバーやPCがウイルスに感染したことで、業務を停止し、その結果、トヨタの国内全工場の操業も停止するといった事件が発生。社会的にインパクトの強い事件だったこともあり、その後、サプライチェーンリスク対策に取り組む企業も出てきているという。

　通常のセキュリティ対策の場合、自社に必要な製品やサービスを導入し、強化を図るケースが大半だが、サプライチェーンリスクの場合、「ツールを入れたからといって解決できるものではない。ガバナンス戦略の強化が重要である」と同社の楢原盛史・チーフ・IT・アーキテクトは見解を述べる。例えば、同社が支援する大手製造業の場合、自社のセキュリティポリシーを最新のセキュリティリスクに合わせ刷新し、そのポリシーをグループ会社や関連会社に適応させ統制を図るといった取り組みを行っているとした。
 
　サプライチェーン全体のガバナンスを強化する中でも、課題は少なくない。ポリシー適用のKPIを定めて実践していくことが有効になるが、サプライチェーンにかかわるすべての企業の実施状況をエコシステムの中核企業が見ることは現実的ではないため、「現在は、戦略策定の初期段階での相談が多い」（楢原氏）という。

　サプライチェーンの範囲を考えた際、グループ企業までとするのか、取引先をまでを含めるのかは企業によって異なる。だが、トヨタの事件から見ると、やはり取引先まで対策を施すことが有効だといえよう。だが、取引先企業は中堅中小企業も多く、そういった企業の場合、セキュリティ予算が少なく、運用できる人材がいないというのが大半だ。このようなケースでは、中核企業が主導となり必要サービスを用意し、取引先の企業が利用するといった場面も出てくる。だが、利益供与の問題なども発生する恐れがあるため注意しなければならない。

脆弱性管理が重要

　サプライチェーン攻撃は、ソフトウェアやシステムの脆弱性を突いたものが大半だ。膨大な数の脆弱性が存在している中では、その一つ一つに対応していくのは企業にとって大きな課題となる。このような環境において、同社では、IT資産管理や脆弱性管理、構成管理を徹底する考え方の「サイバーハイジーン」を提唱している。

　楢原氏は「セキュリティ対策はソリューションの導入ありきで進められることが多いが、IT資産や脆弱性を可視化するといった基本を徹底するのが重要だ」と説明する。特に米国の国土安全保障省が発行する「Known Exploited Vulnerabilities Catalog（既知の悪用された脆弱性カタログ）」に掲載されているような、既に悪用されている脆弱性は早期に発見しパッチを適用する必要がある。
 
　同社の齊藤純哉・執行役員（パートナービジネス統括）マーケティング本部長は、ITベンダーが顧客であるユーザー企業に対してサプライチェーンリスク対策を提案する際に、脆弱性の情報を把握しておくのが重要という。「サプライチェーンリスク対策は範囲が広いため、どこから手を付けていいのか分からないという企業も多い。ベンダーはユーザーの環境を可視化し、脆弱性情報を用いてスコアリングすることで、強化する部分を明確に提案できるようになる」とした。

　加えて、運用プロセスを明確にすることも重要だとしている。製品を導入しても運用が上手くできていない、脆弱性を発見した際にパッチを適用するのが遅れるといったようにセキュリティ運用に課題を抱える企業も少なくない。楢原氏は「最近セキュリティ対策を上手くできている企業は、運用ベースの考えが浸透している。今後は、運用に焦点を置くのが重要な考え方となる」と見通しを語った。

　欧米では国内に比べサプライチェーンリスク対策が進んでいるという。楢原氏は「欧米の場合、ソフトウェアサプライチェーンリスク対策に対してシフトレフト（セキュリティ確認のプロセスを、開発工程の早い段階に組み込む考え方）が当たり前となってきた。シフトレフトに基づいてセキュリティシステムを構築することで、運用負荷も大きく軽減できる」とアドバイスする。