サプライチェーン攻撃は、特定の企業や組織に直接攻撃するのではなく、その企業に関係しているサプライチェーンの一部(取引先や子会社など)を狙って、攻撃する手法です。
この攻撃手法の目的は、サプライチェーンを通じてターゲット企業に侵入し、情報の盗難やシステムの破壊を行うことです。
サプライチェーン攻撃は、本来のターゲットとなる企業のセキュリティ対策が強化されている場合も、サプライチェーンのどこかに脆弱性があればそこを利用することで、攻撃を成功させる可能性が高くなります。
サプライチェーン全体のセキュリティを確保することが、個別の企業のセキュリティを確保するためにも重要です。
経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)"が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしている対策はどれか。
~「情報セキュリティマネジメント・平成29年春期」より
ア | 自社が提供する商品及びサービスの個人利用者が行うセキュリティ対策 |
イ | 自社に出資している株主が行うセキュリティ対策 |
ウ | 自社のサプライチェーンのビジネスパートナが行うセキュリティ対策 | エ | 自社の事業所近隣の地域社会が行うセキュリティ対策 |
答え:ウ
サイバーセキュリティ経営ガイドラインでは、「経営者が認識すべき3原則」を以下のように定めてます。
- 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
- 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
- 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要