最適なコンサルティングを今すぐ活用する!

「IT系サプライチェーン攻撃」が発生しているか?

鈴木純二
SPECIAL

顧客接点強化による成長型IT導入コンサルタント

ベルケンシステムズ株式会社

代表取締役 

顧客接点の強化を軸に、業績に直結するIT導入を指導するスペシャリスト。世に無駄なIT投資が横行するのと一線を画し、顧客の利便性向上、新規取引先、深耕開拓、利用促進…などを主眼に置いた、実益のIT活用と投資戦略を、各会社ごとに組み立てることで定評。

鈴木純二

本コラムでも何回にも渡って解説している情報セキュリティの問題や事件。先日また新たな事件が発生し、世の中を騒がせています。今回の”被害者”は日本の超大手SNSだったため、ニュース性が高く、情報漏洩された人の数も多かったため、かなり注目されているところですが、着目するべきはその発端です。

今回の事件は外部の犯罪者によるアタックと考えられていますが、そのターゲットとなったのが「システム運用を委託していた企業の社員のPC」でした。委託されていた会社は、そのSNS企業及びその親会社のクラウドサービス会社の両方の業務を受託していたとのことですが、私の見立てでは、これは「IT系のサプライチェーン攻撃」と呼んでも良いのではないかと思っています。

サプライチェーン攻撃とは、サイバーセキュリティ対策が高度に進んでいる大企業を直接攻撃することは難しいので、その取引先の中小企業を狙い、大企業の情報を奪取したりするなどの犯罪の総称です。サプライチェーンですから、モノの取引網を狙ったもので、日本でも自動車会社系列が狙われる事件が相次いで話題となりました。

もし、今回犯人が日本のSNSを狙うために親会社のシステムをメンテナンスしている業者を狙ったとすれば、これは高度なサプライチェーン攻撃と呼んでも良いと思います。結局これの対策を取ろうとすると、親会社やクラウド側のセキュリティ対策をとる必要に迫られ、かなり大規模なアクションをとらなければならなくなります。

中小企業の場合、これらのアクションを実行に移すことは非常に難しいことだと思いますが、自社のシステムの運営を外部に委託しているのであれば、少なくともその委託先のセキュリティについては自社でも十分な監査や管理をしなければなりません。「ソフトウェアの専門家が大勢いる会社に委託しているのだから自分達は何もすることは無い」という勘違いは間違いのもとです。これらの会社の従業員は当然複数のクライアントの仕事を兼務していますので、一台のPCに複数の会社のシステムへのアクセス権が設定されているかもしれません。そうなると、どこか1社を狙うためにこのPCを乗っ取られたりした場合、まったく無関係の会社にも被害が及ぶと思っても間違いではないでしょう。

このような関係性については理論的には理解できても、「ではこれをやれば良い」という具体的なアクションには直結させにくいものです。「このような事件もあったのだ」ということを頭に置き、リスクに対して常に気を付けることから始めるのが現実的だと思います。

この事件、まだこれからもっと具体的な事実が明らかになってくることを期待していますが、手口は流行してほしくないものです。

 

コラムの更新をお知らせします!

コラムはいかがでしたか? 下記よりメールアドレスをご登録いただくと、更新時にご案内をお届けします(解除は随時可能です)。ぜひ、ご登録ください。