サプライチェーン・セキュリティ:取引先の「隙」が自社の命取りになる時代

IT用語

これまで、第44回から第46回にかけてEDRSIEM・SOARといった最新の技術を駆使して、自社のネットワークをいかに鉄壁にするかを解説してきました。また、第47回ではペネトレーションテストによってその防御を検証する重要性もお伝えしました。

しかし、自社の門をどれほど固めても、攻撃者が「裏口」から入ってくるルートが残されています。それが、取引先や委託先、あるいは利用しているソフトウェアそのものを経由して侵入するサプライチェーン攻撃です。今回は、現代のビジネスにおいて避けて通れないこの巨大なリスクと、その対策について深掘りします。

サプライチェーン攻撃とは何か?

サプライチェーン(供給網)とは、製品の原材料の調達から、製造、販売、消費者に届くまでの全工程のつながりを指します。セキュリティにおけるサプライチェーン攻撃は、ターゲットとなる「本丸(大手企業や政府機関)」を直接攻撃するのではなく、そのつながりの中にある「守りの甘い組織」や「製造工程」を狙う手法です。

主な手口は、大きく以下の3つのパターンに分類されます。

① ビジネスパートナー経由の攻撃(踏み台)

ターゲット企業とネットワークがつながっている関連会社や、保守・管理を委託している中小企業をまず攻撃します。そこで盗んだIDやVPNのアクセス権を悪用し、正規のルートを装って本丸へ侵入します。

② ソフトウェア・サプライチェーン攻撃

私たちが業務で利用しているソフトウェアのアップデートファイルや、開発者が利用するライブラリ(部品)にあらかじめウイルスを仕込みます。ユーザーが「信頼できるメーカーの更新」だと思ってインストールすることで、自動的に感染が広がります。

③ サービス提供者(MSP)経由の攻撃

多くの企業のシステム運用を代行しているITサービスベンダー(MSP)を攻撃します。一箇所を制圧すれば、その顧客である数百、数千の企業へ一気にアクセスできるため、攻撃者にとって非常に「効率の良い」手法です。

なぜ今、このリスクが深刻なのか?

標的型攻撃の巧妙化

大手企業のセキュリティが第39回で学んだ**「ゼロトラスト」**によって強化されるにつれ、正面突破は困難になりました。そこで攻撃者は、「信頼されている外部」になりすます方法へシフトしています。

ソフトウェア構造の複雑化

現代のソフトウェアは、オープンソースのライブラリ(部品)を組み合わせて作られています。一つひとつの部品に脆弱性が混入していないかを完璧に把握することは極めて難しく、そこが盲点となっています。

3. 世界を震撼させた歴史的な事例

このリスクの恐ろしさを象徴するのが、2020年に発覚した「SolarWinds(ソーラーウィンズ)事件」です。

米国のネットワーク管理ソフトメーカーであるSolarWinds社の製品アップデートに、高度なウイルスが混入されました。このソフトを利用していた米国の政府機関やFortune 500に入る大手企業の多くが、気づかないうちにバックドア(裏口)を仕掛けられてしまったのです。 これは「正規のアップデート」だったため、従来のアンチウイルス(EPP)では検知できず、感染から発覚までに半年以上の月日が経過していました。

サプライチェーンを守るための4つの対策

自社だけで完結できない問題だからこそ、多角的なアプローチが必要です。

  1. 取引先のセキュリティ基準策定と監査: 委託先に対し、一定のセキュリティ基準(第41回で触れたIDaaSの導入やMFAの必須化など)を満たすよう契約に盛り込み、定期的なアンケートや監査を実施します。
  2. ソフトウェア部品表(SBOM)の活用: 利用しているソフトウェアにどのような部品(ライブラリ)が使われているかをリスト化(SBOM:Software Bill of Materials)し、脆弱性が発見された際に即座に対応できる体制を整えます。
  3. 最小権限とネットワーク分離: 第40回の最小権限の原則に基づき、取引先や委託先からのアクセスは「必要最小限」に制限します。また、外部サイトと社内ネットワークを分離し、万が一の侵入時の被害を抑えます。
  4. 「侵害前提」の監視(EDR/XDRの活用): 「正規のルートから入ってきた通信であっても、中身が怪しければ検知する」という考え方です。第44回のEDRや第45回のXDRを導入し、エンドポイントやログを常に監視することが、サプライチェーン攻撃への最後の対抗手段となります。

まとめ

サプライチェーン・セキュリティは、「自社さえ良ければいい」という考え方が通用しない領域です。

  • 信頼の連鎖を悪用する攻撃が増えており、中小企業も「踏み台」として狙われる。
  • ビジネスパートナー管理ソフトウェア管理の両面での対策が必要。
  • ゼロトラストの徹底こそが、外部からのなりすまし侵入を防ぐ鍵。

次回の第49回では、これまで技術的に固めてきた防御を、企業文化や個人のリテラシーとして定着させるための情報セキュリティ教育とフィッシング訓練の重要性について解説します。

コメント