ターゲットとなる企業の関連会社や取引先を踏み台としてサイバー攻撃を加える「サプライチェーン攻撃」の被害が、国内でもいよいよ顕在化している。自社のセキュリティ対策をいかに万全に講じたとしても、事業の継続に重大な影響を与えるリスクは避けられない情勢だ。企業はサプライチェーンのセキュリティをどのようにとらえ、安全性を高めていくべきか。現状と対策を考える。
（取材・文／日高彰、岩田晃久）
 

四つの類型が存在

　セキュリティが強固な企業を直接攻撃するのではなく、その関連会社や取引先などの外部組織を通じて侵入や情報の窃取を行うケースが近年目立つようになっている。一般に製造業では、商品の開発、製造、物流、販売といった一連の流れをサプライチェーンと呼ぶが、前述のような外部を狙ったサイバー攻撃は、まさにこのサプライチェーンの中に潜む脆弱な箇所を突いて目的となる情報を奪おうとする試みであるため、「サプライチェーン攻撃」と呼ばれている。

　情報処理推進機構は、毎年発表している「情報セキュリティ10大脅威」において、2019年1月に発表したランキングの中で、サプライチェーンにおけるセキュリティ上のリスクについて初めて言及している。業務委託先での個人情報漏えいの恐れを念頭に置いたものだったが、近年そのリスクはより重大なものとして考えられるようになってきている。
 
　三菱総合研究所デジタル・イノベーション本部でサイバーセキュリティ戦略を担当する平野賢一・主任研究員によれば、サプライチェーンにおけるセキュリティ上のリスクは四つの類型に大別できるという。

　まず一つめが、「取引先から自社の情報が漏えいする」パターン。これは先に挙げた業務委託先における情報漏えいなどを指している。以前から繰り返し事故が発生しているが、今年6月に兵庫県尼崎市で、全市民の情報が入ったUSBメモリの紛失事件が発生したことで、リスクが再認識された。この事件は、市の業務の委託先ではなく再々委託先の社員がUSBメモリを紛失したものだったが、委託元の市はそのような委託構造を認識していなかったのではないかとも指摘されている。このような業務委託の場合だけでなく、例えばハードディスクなどの記録媒体を廃棄する際に、媒体を引き取った業者が適切なデータ消去処理を行っていなかったといったケースもこのパターンに分類される。

　次は「取引先を経由してサイバー攻撃される」場合で、これは大企業が被害の対象となるケースが多い。近年の攻撃被害の多発を受けて、大企業の本体のセキュリティレベルは大きく向上しており、侵入が難しくなっている。このため、防御が手薄なグループ会社や取引先が標的型攻撃のターゲットとなることが増えており、大企業単独の取り組みでは侵入経路を防ぎきれない点が課題となっている。商流に直接携わる関連会社や取引先への攻撃だけでなく、業務システムの運用を社外に委託していた企業が、委託先の設置したリモートメンテナンス用の回線を経由して侵入されたといった事例も発生している。

　三つめは「取引先のサイバー被害が事業被害として波及する」ケース。自社やグループ会社は攻撃を受けていないにもかかわらず、取引先がサイバー攻撃によって操業停止したことで、材料の納入が途絶え自社の事業もストップしてしまうといった例だ。あらゆる企業でサイバー攻撃の被害が増えていることで、このような被害は拡大する可能性があり、システム上の連携がない企業の間でもサプライチェーンセキュリティを考慮する必要がある。

　最後は上記3点のリスクとは観点が異なるが、「製品や社内システムに使用されているソフトウェアの安全性」についての懸念がある。昨年12月、さまざまなソフトウェアに使用されているライブラリの「Log4j」に深刻な脆弱性が発見されたことが大きく報じられたが、ユーザーは自社が使っているIT製品のどの部分でどんな技術が使われているかを把握するのが難しくなっている。海外製のソフトウェアにセキュリティ上の穴が意図的に設けられていたり、重要度の高いコンポーネントの提供が突然停止してしまったりする恐れもある。