DXの加速に伴うサプライチェーンリスクの増加

DXによるIT環境の変化に加え、パンデミックや地政学リスクなど社会環境の変化によりサイバーリスクも多様化する中で、生産ラインや物流の停止などセキュリティインシデントによるビジネスインパクトは大きなものになっています。中でも、IPA（独立行政法人　情報処理推進機構）発表の「情報セキュリティ10大脅威2022」で、組織の脅威として「サプライチェーンの弱点を悪用した攻撃」が前年の4位から3位に脅威ランクが引き上げられたことからも、近年セキュリティ領域においてサプライチェーンリスクへの懸念は日本でも高まっていることが分かります。

パロアルトネットワークスは、国内企業や官公庁自治体などを取り巻くサプライチェーン セキュリティリスクによる事業・組織運営への影響および対策上講ずべき課題を把握する目的で日本市場に特化した広範囲な調査「サプライチェーンリスクジャパン2022」を実施しました。

サプライチェーンリスクとは

サプライチェーンリスクというと、国内ではセキュリティが緩い中小企業の取引先が踏み台となる攻撃、あるいは製造業の製造・生産プロセスの中にいるサプライヤーや製造委託先などをイメージする傾向があります。米国標準技術研究所（NIST）は、サードバーティのサービス事業者やベンダー、下流にいるサプライヤーによる不十分なセキュリティ、サプライヤーから調達した侵害されたソフトウェアやハードウェア、サプライチェーン管理やサプライヤーのシステムに存在するソフトウェアの脆弱性、偽造やマルウェアが仕込まれたハードウェア、サードパーティデータストレージやデータアグリゲーターなどを例として挙げています。一方イギリスの国家サイバーセキュリティセンター（NCSC）は、サードバーティのソフトウェアプロバイダー、ウェブサイトビルダー、サードパーティデータストア、水飲み場攻撃を例として挙げています。サプライチェーンリスクとは、部品や製品、サービスの供給元や組織の利害関係者の過失、故意により発生しうる様々なセキュリティ上のリスクと言えます。

重要インフラや製造を中心に63％がサプライチェーンセキュリティインシデントを経験 

特に、水道・ガス・電力をはじめとする重要インフラや製造業でのインシデント発生率は高く、コロナ禍で加速したデジタル化やリモートワークといったビジネスニーズの変化、自由化による産業構造の変化などを背景に、サプライチェーンリスクが増大していることが考えられます。個人情報漏えい（26％）、機密情報漏えい（22％）、システム障害（20％）が被害内容の上位となっており、情報漏えい時の通知を義務化した「個人情報保護法」の改正、知的財産の保護や重要インフラの安定稼働を目的とした「経済安全保障推進法」の成立や、経営責任を明確化した「重要インフラのサイバーセキュリティにかかる行動計画」の改正などの近年の法改正等を含む政策の必要性を一層鮮明にしています。

サプライチェーンリスクへの対策上の最大の課題は「可視性と強制力の欠如」

サプライチェーンリスク「すべてのサプライチェーンを把握しきれない（28％）」「すべてのIT資産を可視化しきれない（25％）」が、それぞれ対策上の課題の1位、3位となっており、取引先から下請業者に至るステークホルダーや、ビジネス部門が主幹のクラウドインスタンスからソフトウェアコンポーネントに至るIT資産が無数に存在する中で、その存在を把握すること自体が困難な現実が浮き彫りになっています。また、「取引先に対策を強制できない（26％）」が課題の2位となっており、サプライチェーン全体で一貫したセキュリティレベルを担保することが難しい状況も明らかになっています。

リスク認識は高まる一方で、進まない「可視性と実効性を高める具体策」

業種を問わず全体の81％がサプライチェーンリスクが近年深刻になったと認識し、2021年度には86％が対策を実施しています。「サプライチェーン向け注意喚起の実施（41％）」「自組織の従業員向けの注意喚起の実施（41％）」「サプライチェーン向けセキュリティガイドラインの整備・見直し（29％）」と机上での施策が上位を占める一方、「アタックサーフェスマネジメント（11％）」「ゼロトラスト戦略の検討・採用（15％）」などの施策は少数派となっています。リスク緩和を可能にする可視性や実効性を高める技術的な具体策への着手が、サプライチェーンリスク対策においても急務と言えます。

サプライチェーンリスクに対する対策

サプライチェーンリスクにおいては、サイバーリスクか内部犯行かを問わず「暗黙理の信頼」が最大のリスクとなります。自組織だけではコントロールできない領域が多く存在するのもサプライチェーンリスクの特徴であり、それを踏まえた対策をする必要があります。

• サプライチェーンも含めてインフラ全体で「場所に関係なくすべてのものを信頼せず必ず検査」するゼロトラスト戦略の採用
• 業務委託先や取引先に対して、自組織のセキュリティ基準に照らし合わせた実効性のある監査の実施と改善のライフサイクル
• ICT・ソフトウェアサプライチェーンリスクへの対策としての製品・サービス供給元のセキュリティに対する取り組みの評価
• 自組織のインフラで稼働する製品・サービスの脆弱性や変更に関する情報収集やバージョン管理と対応
• 有事の際の迅速かつ適切な対応を可能にするCSIRT（Computer Security Incident Response Team）に代表されるレスポンス体制の整備

サプライチェーンリスクジャパンレポート2022

「サプライチェーンリスクジャパンレポート2022」は、業種別データに基づく分析を含めて、詳細なデータをまとめたレポートになっていますので、ぜひダウンロードしてご覧いただき今後の対策にお役立てください。またサプライチェーンリスクに関して詳しく解説したホワイトペーパー「サプライチェーンを取り巻くセキュリティリスクの謎を解く」も併せてご一読ください。

また、最新のセキュリティトレンドをご紹介するウェビナー Palo Alto Networks Cafe 「最新の調査結果から見るサプライチェーンリスクの現状と対策」でも今回の調査結果を詳しく解説しますので、サプライチェーンリスクに対する対策強化を検討している皆様はぜひご参加ください。