JAPHICマーク取得企業は、取引先や顧客からの信頼を得やすく、さまざまな業務をスムーズに進められます。
しかし、どれだけ信頼性が高くても、一つの情報セキュリティ事故で信用にはキズがついてしまいます。
今回は、JAPHICマーク取得企業が注意すべきサプライチェーン攻撃の概要、対策などを解説します。
サプライチェーン攻撃の概要
サプライチェーン攻撃は、サプライチェーンという仕組みを悪用したサイバー攻撃です。
サプライチェーンとは、一般的に製品の原材料や部品の調達から商品の製造・出荷・販売・消費までの一連のつながりを指しています。
サプライチェーンのプロセスには、1社だけでなく多くの企業が関わっていて、その仕組みについて攻撃を仕掛けるのがサプライチェーン攻撃です。
サプライチェーン攻撃の種類
JAPHICマーク取得企業が注意すべきサプライチェーン攻撃には、主に以下の3つの種類があります。
・ソフトウェアサプライチェーン攻撃
・サービスサプライチェーン攻撃
・ビジネスサプライチェーン攻撃
ソフトウェアサプライチェーン攻撃は、ソフトウェアの製造や提供の工程を侵害し、ソフトウェアそのものやアップデートプログラムに不正コードを混入するものです。
サービスサプライチェーン攻撃は、MSP(マネージドサービスプロバイダ)などのサービス事業者を侵害し、サービスを通じて顧客に被害を及ぼす攻撃です。
またビジネスサプライチェーン攻撃は、標的となる組織の関連組織や子会社、取引先などを侵害するものです。
業務上のつながりを利用し、巧みに標的組織への攻撃を仕掛けます。
サプライチェーン攻撃への対策
JAPHICマーク取得企業が実施したいサプライチェーン攻撃への対策には、主に以下の方法が挙げられます。
・ビジネスパートナーと協力して対策する
・サプライチェーン全体の対策状況を把握する
・PRISTを設置する
サプライチェーン攻撃の概要でも触れたように、サプライチェーンにはいくつもの企業が関わっています。
そのため、情報セキュリティ対策を取る際は自社だけでなく、ビジネスパートナーと協力することが大切です。
またサプライチェーン攻撃へのセキュリティ対策の実施状況についても、自社だけでなく取引先や関連企業、システム管理の運用委託先を含めて把握しなければいけません。
ちなみに、自社にPRISTを設置すれば、より強固なサプライチェーン攻撃対策を行えます。
PRISTは、自社で開発・提供した商品やサービスに適切な情報セキュリティ対策を講じる上で設置する、セキュリティインシデント対応組織です。
PRISTの主な役割は、ステークホルダーとの連携や脆弱性関連情報の収集、インシデント発生への対策が挙げられます。
サプライチェーン攻撃を受けてしまったら?
実際JAPHICマーク取得企業がサプライチェーン攻撃を受けてしまった場合、迅速に以下の対処を行うべきです。
・影響範囲と攻撃内容の特定
・攻撃が疑われるシステムや端末の隔離
・関係者やサプライチェーン企業への連絡
・システムの復旧
・攻撃原因の調査と再発防止策の策定
まずは被害を最小限に抑えるために、影響範囲と攻撃内容を素早く特定します。
こうすることで、感染の疑いがあるシステムや端末を隔離し、被害の拡大を防止できます。
また関係者や関連企業への連絡もスピーディーに行い、連絡後は速やかに復旧に取り組みます。
もちろん、今後同じ被害を受けないように、ビジネスパートナーも含め再発防止策を策定しなければいけません。
まとめ
規模の大きい一流企業であれば、調達から販売や消費まで、すべて自社でまかなっているというケースもあります。
しかしこのようなケースは極めて稀であり、JAPHICマーク取得企業であっても、そこまでのシステムは有していない可能性が高いです。
そのため対策を取ることはもちろん、サプライチェーンについて具体的に把握し、攻撃を受けたときの流れもシミュレーションしておく
