叡智の三猿

三猿×情報セキュリティ×はてな で発信します。

セキュリティの表札

対策が難しい「サプライチェーン攻撃」

情報セキュリティの脅威であるサプライチェーン攻撃」とは、攻撃対象とする会社の子会社や、関係会社等のグループ会社。サプライチェーンを構成する取引先のなかで、脆弱性のある会社を狙って攻撃対象とする会社の機密情報を盗むことをいいます。

たとえ、自分の会社は高度な「セキュリティ対策」を実施しても、グループ会社や取引先にまで、同じ対策を実施するのは難しいと思います。そして、攻撃者はそういう会社を狙います。それが原因で自社の機密情報が漏洩するリスクは高くなります。

f:id:slowtrain2013:20200521143531p:plain
サプライチェーン攻撃の例
情報セキュリティの世界で「脅威」「脆弱性」「リスク」という言葉がよく使われます。ただ、どれも抽象的で似たような意味にも感じます。

これらは、次のように使い分けされています。

言 葉 意 味
脅 威 情報セキュリティ(機密性、完全性、可用性)を損なう可能性のある要因
脆弱性 脅威がつけこめることができる組織や情報システム
リスク 脅威が資産の脆弱性につけこむことで、組織に損害を与える可能性や影響

サプライチェーン攻撃」は対策が非常に難しいといわれます。

それはー

  1. 直接の攻撃相手は、自社のセキュリティ対策が届かないこと
  2. 攻撃の手法が特定されないこと

です。

サプライチェーン攻撃のリスクを完全に回避するには「自社で完結(企画・生産・物流・販売)した商品やサービスを顧客に提供する」ことです。ただ、それは現実的ではありません。

たとえば、ユニクロに代表されるSPA(製造小売業は、アパレル産業の川上から川下までの情報を正確に把握することで、サプライチェーン全体を合理的に管理しています。消費需要の変化に応じて、的確に工場や店舗に指示を出すことができます。ただ、ユニクロは自社工場を抱えているわけではありません。中国を中心として、いい工場と協力をしてくれる経営者を探すことで、質のよいサプライチェーンを作る競争になっています。

サプライチェーン攻撃への対策は、回避することではなく、低減させることが、ポイントです。

その為には、サプライチェーンの相手として、「セキュリティ対策」をしている、信頼できる会社・組織を選定 することだと思います。

セキュリティ対策の評価

ところで、自分の会社がキチンと「セキュリティ対策」をしているか?甘いのか?

おそらくその答えを出すのは難しいと思います。

自社の「セキュリティ対策」が、きっちりしているかを把握出来ないのに、他社の「セキュリティ対策」を評価するのは難しいです。

わたしは会社のホームページをみて、この会社は「セキュリティ対策」が出来ていそうなのか、そうでないかをザックリと評価します。ホームページを見るだけですので、誰にも問い合わせる必要もないですし、いろいろと調べたりする必要もありません。

それは次の3つのポイントです。

(1)会社のURLがhttpsではじまるか?

ブラウザからホームページにアクセスした際に、上にあるアドレスバーに表示されるのがURLです。

f:id:slowtrain2013:20200522144139p:plain:w400
URLの形式
スキーマとは、サイトにアクセス、もしくはリソースを使用する方法です。ホームページであれば、httpかhttpsが表示されるでしょう。最後に「s」がついている場合は、データのやり取りに暗号化を使った安全性の高い通信方式であることを意味します。

通信の暗号化は年々基準が強化されています。たとえば Google Chromeでは、全てのhttp通信はURLに(保護されていない通信)と表示されます。Safariの場合は、安全ではありません- と表示されます。

ホームページがhttpsではじまっていない会社は「セキュリティ意識」が低い会社と見ています。

(2)詳細な組織図やメールアドレスを掲載していないか?

ホームページの性格上、会社概要が掲載され、そこには事業所やサービスが記載されていることは当然だと思います。しかし細かい部署名まで一般公開するオープン過ぎるホームページは注意が必要です。

何故なら、攻撃者が欲しいのは、そういう情報だからです。攻撃者はその会社に実在する組織名を使って標的型メールを送ることでターゲットから情報を盗みます。

f:id:slowtrain2013:20200522153845p:plain:w400
実在する組織情報を使って標的型攻撃
(標的型攻撃について、こちらにも書いてます)
www.three-wise-monkeys.com
さらにホームページにメールアドレスを載せる会社は要注意です。これをすると「迷惑メール」が大量に来ます。その会社は「迷惑メール」の対策で悩みを抱えている可能性があります。「迷惑メール」がキッカケとなり、機密情報が漏洩する可能性が充分考えられます。

(3)第三者認証(ISMS若しくはPマーク )を取得しているか?

ISMS情報セキュリティマネジメントシステムは、情報セキュリティに関する国際規格のひとつであり、その取り組みを指します。そこで「ISMS適合性評価制度」という制度があります。こちらを取得するには、第三者機関に申請を行い審査を受け、審査条件を満たすことで認証を受けられます。

プライバシーマーク(Pマーク)制度は、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を評価して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。

これらの認証制度を取得すると、自社のホームページに取得したことを示すロゴを掲載できます。この認証制度があれば、その会社は情報セキュリティへの取り組み、個人情報についての適切な保護を実施していることが分かります。以下の公式サイトからも取得企業を検索することができます。

ホームページはセキュリティ対策の表札です。ホームページを見ることで、信頼できるサプライチェーンの相手を選定する際の最低限の目安になると思います。