近年、サプライチェーン攻撃が増加しており、多くの企業や組織が被害を受けています。現代のビジネスはサプライチェーンに依存しており、複数の企業や業界が関与していることでデータや情報が複数の場所でやりとりされるため、これによるサイバーセキュリティの脆弱性はビジネスに対して深刻なリスクをもたらす可能性があります。特に2022年3月に起きた大手国内自動車メーカーにおけるランサムウェア被害は、まさにサプライチェーン上のセキュリティリスクを象徴する事例となりました。 ただしその一方で、下流の中小企業ではセキュリティ対策にさけるリソースが少ないという実情があります。
サプライチェーン全体で実現可能なセキュリティ対策について、今こそ見直しが必要です。

 

 

深刻度を増すサプライチェーン攻撃

見抜けないなりすましメール
サンプル

 

昨今の巧妙化されたビジネスメール詐欺をはじめ、関連会社や子会社、取引先など、業務上のつながり(ビジネスサプライチェーン)を利用して標的組織に被害を及ぼす攻撃が急増しています。

 

共有されたネットワーク
サンプル

 

組織のIT環境は、運用や保守をアウトソースすることで様々なパートナー会社との連携によって成り立っています。これら運用サービスなどの提供会社を先に侵害することで、標的組織に被害を及ぼす攻撃が近年のトレンドとなっています。

 

連携された業務システム
サンプル

 

DX化により企業の基幹業務システムは様々なサプライヤーとの連携性を高めています。この業務システムを提供している企業や、共有して利用するパートナーを侵害することで標的組織に被害を及ぼす攻撃が存在します。

 

サプライチェーンセキュリティはなぜ難しいのか?

予算感の違い

サプライチェーンの構造では、その組織群の頂点となる上流企業が存在し、それに紐づき1次,2次…と縦型の構造になることが多いです。当然上流企業と下流企業ではセキュリティに費やせる予算に開きが出ます。

 

用意できる人材の違い

上流企業がCSIRTやSOCといったセキュリティ体制を講じてもそれに連なるサプライチェーン全体で足並みをそろえるべく追随することは困難です。また上流企業がサプライチェーン全てのセキュリティ体制を巻き取ることも非現実的です。

セキュリティに対する認識の違い

経産省のガイドラインをはじめ、多くの業界に特有のサプライチェーンセキュリティへの推奨事項が存在します。しかし記載内容の実施については企業毎でとらえ方や認識が異なり一体となった対策を講じることは難しいです。

 

 


サプライチェーンのセキュリティ対策にAppGuard

 

 

サプライチェーンセキュリティを講じるうえでは、これまでの「縦型」のサプライチェーン構造から脱却し、全体で実行可能な対策を考え必要最小限度の対策で全体最適が可能な「サークル型」の構造として考える必要があります。 この最小限度の対策を考えるうえでは、「最も守るべき箇所はどこに存在するのか」という視点が大切です。多くの組織にとって、「インシデントの引き金になりやすい場所」「被害に合った際の業務影響が大きい場所」「重要なデータの保管場所」を再考すると、おそらくエンドポイントそこ誰でも出来る必要最小限度の対策として実行すべきポイントとなるのではないでしょうか。
 

 

 

 

 

誰でも出来る1つの対策でゼロトラストの輪を作り上げる

 

ゼロトラスト型エンドポイントセキュリティAppGuardとは?

 


AppGuardはゼロトラストの基本的概念である「信頼」と「検証」の連続によって「やって良いこと・悪いこと」を明確に規定し「やって良いこと」だけが常に実践されているか検証し続けることでサイバー攻撃というイレギュラーを成立させないエンドポイントセキュリティです。

 

 

従来の「悪いものを見つけて排除」という方法には「悪いモノとは何か?」という不確実性が存在します。この不確実性を限りなく排除するために高度な分析ツールを用いたり、高度な人材を配置したりと企業にとっての負荷を大きくする要因を作り出しています。 縦型のサプライチェーン構造でのセキュリティ対策がうまくいかない要因の1つにはこの不確実性の排除の難しさが大きく関係します。
ゼロトラストの考え方で成り立つAppGuardは「悪いもの」という不確実性を排除することでこの課題を解決します。それぞれの企業に選択肢を与えつつ、必要最小限度の対策を全体で共有することが出来ます。

例えば予算や人材に余裕のあるサプライチェーンにおける上流企業では「エンドポイントを絶対死守したい」かつ「しっかり脅威も解析したい」というニーズが存在するはずです。
その場合には以下のようなセキュリティ対策を講じる必要があります。

 

  • ・「エンドポイントの絶対死守」+「高度な解析」
    =「AppGuard」 + 「解析ツール and 解析チームの設置」

 

 

しかし予算や人材を確保することが難しい下流企業では「エンドポイントを絶対死守したい」という必要最小限度の対策に留めたいというニーズもあるでしょう。

 

  • ・「エンドポイントの絶対死守」
    =「AppGuard 」のみでの対策

 

このように上流下流企業がそれぞれのセキュリティ対策を講じても、本来の「エンドポイントを絶対死守する」という目的はサプライチェーン全体で達成されます。
パートナー企業や関連会社との信頼で作り上げる今のビジネスだからこそ、全体で無理なく実施できるエンドポイントのゼロトラスト化を検討してみませんか?