対策が難しい「サプライチェーン攻撃」

情報セキュリティの脅威である「サプライチェーン攻撃」とは、攻撃対象とする会社の子会社や、関係会社等のグループ会社。サプライチェーンを構成する取引先のなかで、脆弱性のある会社を狙って攻撃対象とする会社の機密情報を盗むことをいいます。

たとえ、自分の会社は高度な「セキュリティ対策」を実施しても、グループ会社や取引先にまで、同じ対策を実施するのは難しいと思います。そして、攻撃者はそういう会社を狙います。それが原因で自社の機密情報が漏洩するリスクは高くなります。

これらは、次のように使い分けされています。

「サプライチェーン攻撃」は対策が非常に難しいといわれます。

それはー

1. 直接の攻撃相手は、自社のセキュリティ対策が届かないこと
2. 攻撃の手法が特定されないこと

です。

サプライチェーン攻撃のリスクを完全に回避するには「自社で完結（企画・生産・物流・販売）した商品やサービスを顧客に提供する」ことです。ただ、それは現実的ではありません。

たとえば、ユニクロに代表されるSPA（製造小売業）は、アパレル産業の川上から川下までの情報を正確に把握することで、サプライチェーン全体を合理的に管理しています。消費需要の変化に応じて、的確に工場や店舗に指示を出すことができます。ただ、ユニクロは自社工場を抱えているわけではありません。中国を中心として、いい工場と協力をしてくれる経営者を探すことで、質のよいサプライチェーンを作る競争になっています。

サプライチェーン攻撃への対策は、回避することではなく、低減させることが、ポイントです。

その為には、サプライチェーンの相手として、「セキュリティ対策」をしている、信頼できる会社・組織を選定 することだと思います。

セキュリティ対策の評価

ところで、自分の会社がキチンと「セキュリティ対策」をしているか？甘いのか？

おそらくその答えを出すのは難しいと思います。

自社の「セキュリティ対策」が、きっちりしているかを把握出来ないのに、他社の「セキュリティ対策」を評価するのは難しいです。

わたしは会社のホームページをみて、この会社は「セキュリティ対策」が出来ていそうなのか、そうでないかをザックリと評価します。ホームページを見るだけですので、誰にも問い合わせる必要もないですし、いろいろと調べたりする必要もありません。

それは次の３つのポイントです。

（１）会社のURLがhttpsではじまるか？

ブラウザからホームページにアクセスした際に、上にあるアドレスバーに表示されるのがURLです。

スキーマとは、サイトにアクセス、もしくはリソースを使用する方法です。ホームページであれば、httpかhttpsが表示されるでしょう。最後に「s」がついている場合は、データのやり取りに暗号化を使った安全性の高い通信方式であることを意味します。

通信の暗号化は年々基準が強化されています。たとえば Google Chromeでは、全てのhttp通信はURLに（保護されていない通信）と表示されます。Safariの場合は、安全ではありません- と表示されます。

ホームページがhttpsではじまっていない会社は「セキュリティ意識」が低い会社と見ています。

（２）詳細な組織図やメールアドレスを掲載していないか？

ホームページの性格上、会社概要が掲載され、そこには事業所やサービスが記載されていることは当然だと思います。しかし細かい部署名まで一般公開するオープン過ぎるホームページは注意が必要です。

何故なら、攻撃者が欲しいのは、そういう情報だからです。攻撃者はその会社に実在する組織名を使って標的型メールを送ることでターゲットから情報を盗みます。

（標的型攻撃について、こちらにも書いてます）
www.three-wise-monkeys.com
さらにホームページにメールアドレスを載せる会社は要注意です。これをすると「迷惑メール」が大量に来ます。その会社は「迷惑メール」の対策で悩みを抱えている可能性があります。「迷惑メール」がキッカケとなり、機密情報が漏洩する可能性が充分考えられます。