サプライチェーン攻撃対策とは?取引先や親会社の要件に応えるための進め方
近年、サイバー攻撃の手口が巧妙化するなかで、「サプライチェーン攻撃」への対策が急務となっています。情報システム部門や管理部門の担当者のなかには、親会社や取引先からセキュリティ対策に関するチェックシートや要件の提示を受け、「自社でどこまで対応すべきか」「限られたリソースでどのように要求に応えればよいのか」と悩まれている方も多いのではないでしょうか。
サプライチェーン攻撃の代表的な手口の一つは、標的企業を直接狙うのではなく、セキュリティ対策が手薄になりがちな子会社や関連会社、取引先、委託先などを経由して侵入を図るものです。 そのため、企業規模にかかわらず、サプライチェーンを構成するすべての組織で適切な対策が求められています。
この記事では、サプライチェーン攻撃対策が求められる背景や、子会社・関連会社がまず取り組むべき確認事項、現場に適用しやすい具体的な対策、そして外部の要件に確実に応えるための進め方について解説します。
目次[非表示]
サプライチェーン攻撃対策が求められる理由
なぜ、大企業だけでなく、中小の関連会社や取引先企業にまで厳格なセキュリティ対策が求められるようになっているのでしょうか。まずは、サプライチェーン攻撃が大きな脅威となっている理由を整理します。
自社が狙われるというより“経由点”として見られることがある
サイバー攻撃者は、セキュリティが強固な大企業へ正面から侵入することを避け、相対的に対策が遅れている関連組織や業務委託先を最初のターゲットに選びます。
攻撃者は、関連会社から親会社へのネットワーク接続(VPNなど)を悪用したり、取引先を装った業務メールにマルウェアを仕込んだりすることで、最終的な標的である企業の内部システムに侵入します。
つまり、自社が直接的な標的ではなくとも、情報流出やランサムウェア感染の「踏み台(経由点)」として利用されてしまうリスクがあります。
親会社・取引先から要件提示が進みやすくなっている
こうした被害を防ぐため、近年では大企業を中心に、サプライチェーン全体でのセキュリティ水準を引き上げる動きが加速しています。
経済産業省と内閣官房国家サイバー統括室が公表した「SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)」の構築方針では、委託元が委託先に必要な段階を提示し、対策の実施状況を確認することが想定されています。今後は、取引先や親会社に対して、自社のセキュリティ対策状況を説明できる体制の重要性が高まると考えられます。
子会社・関連会社の課題は「何をどこまでやればよいか分かりにくい」こと
親会社や取引先からセキュリティ要件を提示された際、多くの子会社・関連会社が直面するのが「具体的に何をどこまでやればよいのか分からない」という課題です。
要件の項目が抽象的であったり、大企業向けの高い基準で書かれていたりするため、人員や予算が限られているなかで、どのように優先順位をつけ、自社の環境に実装していけばよいのかが見えにくいという難しさがあります。
子会社・関連会社がまず確認したいこと
いきなり新しいセキュリティツールや製品を探すのではなく、まずは自社の現状把握から始めることが確実な対策への第一歩です。
親会社・取引先から何を求められているかを整理する
はじめに、親会社や取引先から提示されたチェックシートやセキュリティ要件の内容を確認します。
「認証の強化」「マルウェア対策」「ログの保存」など、相手が懸念しているリスクは何かを読み解き、それを自社の社内規程や実務と照らし合わせます。要件の意図を正しく理解し、自社の運用にどう読み替えるかを整理することが重要です。
自社のIT資産・アカウント・委託先を把握する
対策を講じるためには、守るべき対象を正確に把握しておく必要があります。
社内で稼働しているPCやサーバ、ネットワーク機器、クラウドサービスの種類に加え、誰にどんなID(アカウント)が発行されているかをリストアップします。
さらに、自社が業務を再委託している外部パートナーが存在する場合は、その委託先におけるサイバーセキュリティリスクの有無も確認対象に含めることが求められます。
不足しているのはルールか、運用か、技術対策かを切り分ける
現状を把握したら、求められる要件に対して「何が不足しているのか」を分類します。
規程やガイドラインがない「ルールの不足」なのか、決まりはあるが守られていない「運用の不足」なのか、あるいはシステム的に防ぐ手段がない「技術対策の不足」なのかを切り分けます。これらを分解することで、何から着手すべきかの優先順位が明確になります。
自社に適用しやすいサプライチェーン攻撃対策
現状を整理できたら、現場で取り組みやすく、かつ効果の高い対策から実行に移します。ここでは、管理・運用・技術の3つの面から基本的な対策を解説します。
アカウント管理とアクセス制御を見直す
不正アクセスの多くは、パスワードの漏えいや管理不備から発生します。まずは情報システムの入口であるアカウント管理を見直しましょう。
システムの利用には多要素認証(MFA)を導入する、業務に不要な特権アカウントを削除する、退職者や異動者のアカウントを速やかに無効化するといった、基本的なID管理を徹底することが重要です。
端末・サーバ・ネットワークの更新管理を徹底する
サイバー攻撃者は、OSやソフトウェアの古いバージョンに残された脆弱性を狙って侵入します。
PCやサーバのOS、利用しているソフトウェア、さらにはルーターやVPNといったネットワーク機器のファームウェアに対して、定期的にセキュリティパッチを適用し、常に最新の状態に保つバージョン管理の運用を徹底します。
委託先・再委託先も含めたルールを整える
サプライチェーン対策は自社だけで完結するものではありません。業務を外部へ委託している場合は、委託先との契約において情報セキュリティに関する責任分界点を明確にしておく必要があります。
情報を取り扱う際のルールや、システムに障害が起きた場合の連絡体制などを契約書や覚書に明記し、定期的に遵守状況を確認するプロセスを設けます。
インシデント時の報告フローを決めておく
どれほど対策を講じても、インシデントを100%防ぐことは困難です。万が一、不審なメールを開封してしまった、あるいはマルウェアへの感染が疑われるといった事態が発生した際に備え、社内の報告フローを決めておきます。
「誰が報告を受け、誰が親会社や取引先に連絡し、誰がネットワークの遮断を判断するのか」を明確にしておくことで、初動の遅れによる被害拡大を防ぐことができます。
ツール導入より先に、情シス運用を整えることが重要
サプライチェーン攻撃対策は、高価なセキュリティ製品を一度導入すれば完了するものではありません。何よりも、日々の安定した情シス運用が土台となります。
資産管理・ID管理・ヘルプデスク対応は対策の土台になる
セキュリティの前提となるのは、「自社の環境が見えていること」です。
誰がどの端末を使っているかを管理するIT資産管理、適切な権限を付与するID管理、そして従業員からの「PCの挙動がおかしい」といった問い合わせを吸い上げるヘルプデスク対応など、地道な日常業務が機能して初めて、セキュリティリスクを正確にコントロールできるようになります。
監視・障害対応・保守運用が弱いと対策が定着しにくい
立派なセキュリティルールを作成し、新たなツールを導入しても、日々のログ監視やアラートへの対応、システム障害時の迅速な復旧体制といった保守運用が回らなければ、実効性は落ちてしまいます。
運用負荷が高まり、結果的にパッチ適用が後回しになるような事態は避けなければなりません。
自社だけで対応しきれないなら、外部支援も前提に考える
特に少人数で情シス業務を回している企業にとって、日常の運用管理と並行して厳格なセキュリティ要件に対応していくのは至難の業です。すべてを自社だけで抱え込まず、外部の専門的な支援を活用することも重要な戦略です。
FGLテクノソリューションズでは、ITインフラの監視・障害対応から、日々のヘルプデスク業務、確実な資産管理・ID管理に至るまで、情シス部門の業務をトータルでサポートする『社内システム運用管理サービス』を提供しています。日々の運用を安定化させることで、サプライチェーン全体で求められるセキュリティ水準の維持に貢献します。
親会社・取引先から要件を求められたときの進め方
最後に、親会社や取引先から具体的なセキュリティ対策の報告や監査を求められた際の、実務的な進め方について整理します。
要求事項をそのまま受け取らず、実務に落とし直す
相手からのチェックシートや要求事項を、ただの「はい・いいえ」で終わらせてはいけません。「この要件は、自社の規模であればこのツールと運用でカバーできる」というように、自社の実務に合わせた具体的な手段に翻訳し、相手が求めている「安全性の証明」を明確に行えるよう準備します。
不足部分は優先順位を付けて段階的に整える
現状と要求事項の間にギャップがある場合、一度にすべてを完璧にしようと焦る必要はありません。
システムへの直接的な侵入を防ぐID管理やパッチ適用といった「影響度が大きく、すぐに着手できるもの」から優先的に対応し、システム改修が必要な中長期的な課題については、ロードマップを作成して取引先へ誠実に回答する姿勢が大切です。
必要に応じて外部パートナーと連携する
取引先からの高度な要求に対して、自社の知見だけで回答を作成したり、新たな運用を設計したりすることが難しい場面もあるはずです。
そのようなときは、セキュリティやITインフラに精通した外部パートナーと連携し、要求の読み解きから運用体制の整備までを含めて相談しながら進めることで、手戻りを減らしながら対応を進めやすくなります。
まとめ
この記事では、サプライチェーン攻撃について解説しました。
サプライチェーン攻撃対策が求められる理由
子会社・関連会社がまず確認したいこと
自社に適用しやすいサプライチェーン攻撃対策
ツール導入より先に、情シス運用を整えることが重要
親会社・取引先から要件を求められたときの進め方
サプライチェーン攻撃は、どの企業にとっても「自社が踏み台にされるかもしれない」という切実なリスクです。親会社や取引先からの要求事項にただ応えるだけでなく、その意図を読み解き、自社のIT資産の把握やアカウント管理といった土台となる運用に落とし込んでいくことが重要です。
また、セキュリティ対策は一度きりのイベントではなく、日常の継続的な情シス運用があってこそ機能します。もし自社内のリソースだけで要件対応や運用管理を回すことが難しい場合は、ヘルプデスクやインフラ保守を含む外部の運用支援サービスを有効活用し、無理のない安全なIT環境を構築してみてはいかがでしょうか。
『FGLテクノソリューションズ』では、社内システム運用管理やITアドバイザリーを通じて、平時の運用整備やセキュリティ課題への対応を支援しています。情シス運用やインフラ管理まで含めて備えを整えたい場合は、自社に合った運用体制づくりをご相談ください。
