3日目の特別講演では、JPCERTコーディネーションセンター（JPCERT/CC）の早期警戒グループマネージャー脅威アナリストである佐々木勇人氏が登壇、「“サプライチェーン攻撃”への誤解」をテーマに講演を行った。


　JPCERT/CCは、二つの役割を持つ日本のサイバーセキュリティ組織である。第1は、セキュリティインシデントに関する対策・予防・注意喚起・初動対応の実施。第2に、海外を含むさまざまなCSIRTや専門組織との間で連絡を取り合う窓口も果たしている。

　佐々木氏は、「『サプライチェーン攻撃』といっても、使う人によって意味は異なる」と指摘する。日本では、「事業の供給網を通じた攻撃」をサプライチェーン攻撃と呼ぶのが一般的。それに対して、海外のセキュリティ専門家は「IT製品やマネージドサービスプロバイダー（MSP）を踏み台とした攻撃」をサプライチェーン攻撃と称しているという。

　このような誤解は、セキュリティインシデントが発生したときの対応にも影響を与える。大手製造業のサプライチェーンを構成する企業でインシデントが発生した場合、その原因は部品供給網の末端にある中堅・中小企業のセキュリティ対策の弱さに求められがち。大手製造業のサプライチェーンとは関係がなく、特定のIT製品のユーザー企業でも同様のインシデントが発生しているのであれば、真の原因はIT製品の供給網にあったと分かる。

　そこで、JPCERT/CCは海外機関などから入手した情報に基づき、該当製品のベンダー、ISP、ユーザーなどに脆弱性や認証情報の漏えいに関する注意喚起や個別通知をしている。「ただ、対応してもらえなかったり、情報が伝わらなかったりするケースが多発している」と佐々木氏。日本のIT製品サプライチェーンに構造上の問題があると述べた。

　例えば、メーカーが発した脆弱性情報が現場で運用にあたる保守ベンダーやユーザーに届いていないケース。海外メーカーの日本法人はリセラー経由で製品を国内で流通させており、エンドユーザーとの間で直接の契約を結んでいないことが多い。保守ベンダーにJPCERT/CCから注意喚起をしても、ユーザーとの契約内容によってはパッチ適用などの対応をとってもらえないこともある。

　このような状況下では、IT製品の脆弱性に起因するセキュリティインシデントは今後も発生するはず。佐々木氏は「商流上の課題があるとはいえ、メーカーや保守ベンダーだけに責任追求が集中するのはフェアではない」と、商流上の作業やコストの負担について、現場レベルで議論を始めてほしいと促した。