私は問題に関与しているのだろうか?

誰もがサプライチェーン攻撃のリスクにさらされています

miltiadis-fragkidis-2zGTh-S5moM-unsplash
Reading time: 10 min
Craig Houston

サプライチェーンが変化していることは間違いありません。ほんの数年前まで、サプライチェーンは直線的で、ほとんどが一次元の構造で取り締まりも管理も比較的容易でした。

しかし、これはもはやまったく当てはまらず、現在ではスタートアップ企業や個人起業家から多国籍企業に至るまで、さまざまなアクターが関与しています。

アマゾンを例に挙げてみましょう。この小売大手は、さまざまな規模の何千ものベンダーと取引しています。これらのエンドポイントのそれぞれは、Amazon のネットワークへの潜在的な経路と、2021 年の第 2 四半期に 77 億ドルの営業利益を記録した企業を暴露する方法を表しています。

バタフライエフェクト

これは明らかに問題です。組織は、アパートの一室からから実行されているひとりの人間の操作によってダウンするリスクを負うからです。大企業は自社の安全を守るための理解とリソースを持ち合わせていますが、中小企業では自社が攻撃を受ける理由がないと考えるためか、適切なレベルのセキュリティ対策をとる余裕がないと感じるかのどちらかであります。

Harri Ruusinen (ハッリ・ルイシネン) - ウィズセキュアのグローバルセールスエンジニアリングディレクターは、そこにパターンがあると考えています。「大企業にとって、セキュリティ対策はもはや日常業務の一部です。そして、認証やバックグラウンドチェックが必要であることを理解しています。しかし、中小企業は、顧客からプロトコルに従うよう求められ、窮地に立たされます。 攻撃者は、あなたのデータの搾取を望んでいない可能性は十分にありますが、利用できる特定の顧客データが存在する可能性は十分にあります」

Tuomas Miettinen (トゥオマス・ミエッティネン)は、ウィズセキュアのテクニカルセールスイネーブルメントマネージャは、情報漏えいは中小企業に計り知れないダメージを与える可能性があると考えています。「多くの場合、中小企業はこのようなリスク管理が必要であることを理解していません。中小企業が情報漏えいに関係していたり、情報漏えいの根本的な原因になっている場合、それは深刻な影響を及ぼす可能性があります。一度信頼を失うと、それを取り戻すのは非常に困難です」

出発点

サプライチェーン全体をダウンさせ、顧客を永久に遠ざける可能性があることを中小企業に理解してもらうことは、多くの恐怖をもたらす。中小企業は、特に今世界で起こっているすべてのことを考えると、可能な限り節約しようと考えています。

「もちろん、管理体制を整え、可視性を確保するには、チーム全体が必要です。しかし、中小企業ができることは、ビルディング・ブロックが整っており、安全なソリューションを使用していることを確認することです。処理するすべてのデータを確実に保護する必要があり、そのためには、攻撃やリスクに備え、優れたサービスと可視性を喜んで提供してくれるパートナーの助けを借りることができる」と Miettinenは言う。

「最初の部分は、本当にリスク管理を理解することだと思います。サプライチェーンへの攻撃につながるようなサイバーインシデントが発生しても、本当に大丈夫なのでしょうか?その後、EPPEDRを導入し、インシデントを防止、検出、対応する能力を持つことを確認し、侵害が疑われる場合に誰に連絡すればよいかを知ることが重要です。基本的には、必要なときにいつでも助けてくれるサイバーセキュリティ・パートナーを見つける必要がある。結局のところ、何十年もの間、第一線で経験を積んできた専門家と手を組むことは理にかなっているのです」とRuusinenは言う。

サプライチェーンにおけるあなたの役割については、こちらをご覧ください: サプライチェーンのセキュリティは全員の責任|WithSecure™

次は何をするのか?

周知のように、攻撃者はより巧妙になっています。つまり、我々は常に一歩先を行く必要があります。では、サプライチェーンの保護に関して、私たちは近い将来何に注意すべきなのでしょうか?

コラボレーションが鍵になります。知識を共有し、専門家が最善を尽くすことで、私たち全員がより安全に仕事をすることができます。しかし、コラボレーションが進めばエンドポイントの数も増え、攻撃のリスクも高まります。クラウドに移行する際には、全員がその構造における責任を認識する必要があります。

「クラウドコラボレーションを進めるにあたっては、注意が必要です。クラウド上にコミュニティを構築し、それを複数のパートナーが利用するということも考えられます。そのため、自分のサービスでありながら、外部の組織がその中でファイルを共有していることになります。つまり、自分自身の安全を守ると同時に、他者からリスクを持ち込まれないようにする必要があるのです」とMiettinen.は述べます。

「ユーザー名、パスワード、多要素認証など、IDの管理は各企業の責任です。攻撃者がIDを盗むのをできるだけ複雑にしてください。IDはサプライチェーン攻撃で本当に簡単に使われるからです」とRuusinenは警告します。

最後に、私たちの専門家が今ここでできるアドバイスは何でしょうか?

Miettinen は、「機械学習やAIがあるとはいえ、最終的な決断を下すのは人間であることを忘れてはなりません。つまり、信じようと信じまいと、私たちはまだ優れているのです!機械は多くのノイズを排除し、可視化するのに役立ちますが、人間がレビューし、最終的なステップを踏まなければなりません」と言います。

「単刀直入に言えば、良いクラウドサービスを購入することです。なぜなら、プラットフォームが安全であることを確認するために多くの人が働いているからであり、その責任は組織にあることを忘れないでください」とRuusinenは締めくくりました。

Photo credit – Miltiadis Fragkidis