サプライチェーンにおけるサイバーセキュリティリスクについて（前編）

ここ数年、国内においてもサイバー攻撃の被害が頻発しており、企業・組織におけるサイバーセキュリティ対策の強化が求められていますが、その中でも、サプライチェーンにおけるセキュリティリスクへの対策強化が強く叫ばれています。しかしながら、サプライチェーンは非常に範囲が広いため、サプライチェーンにおけるセキュリティ対策と言っても何が重要なのか、何から手をつけていいのか戸惑っている方もおられるのではないでしょうか？

サプライチェーンにおけるサイバーセキュリティリスクの類型

筆者が知る限り、サプライチェーンにおけるサイバーセキュリティリスクやサプライチェーンにおけるサイバー攻撃について国際的にも国内的にも確立した定義や分類は存在しないようですが、様々な文書や事例から以下の類型に分けることができると考えています。

サイバー攻撃によるサプライチェーンの滞留

災害等、様々な要因で部品等の供給が滞るサプライチェーンの滞留のうちサイバー攻撃によるものを指します。また、部品等の供給だけでなく、自社事業の遂行における外部サービスの利用や自社システムと外部システムとの連携、いわばシステム的なサプライチェーンにおいてサプライヤーがサイバー攻撃を受けることで自社事業や自社システムに影響が発生することも含まれます。
「サプライチェーンへのサイバー攻撃」というと、まずこのことを思い浮かべる人も多いと思います。ところが、海外で「Supply Chain Attack」というと、この類型は指さないようなのです。例えば、JPCERT/CCによれば、英NCSCのサプライチェーンセキュリティガイダンスと題したWebコンテンツには「Supply Chain Attack」の例が示されており、「Third party software providers」「Website Builders」「Third party data stores」「Watering hole attacks」の４つが示されているとのことですが、この類型らしき記述はありません。

ソフトウェアサプライチェーン攻撃

ソフトウェアの製造課程で悪意あるコードを混入させる攻撃を指します。海外で「Supply Chain Attack」と言う場合、この類型はその中心的な存在です。日本においては、頭にソフトウェアをつけて「ソフトウェアサプライチェーン攻撃」と言った方が他の類型との混同を避けられるでしょう。

他組織経由の侵害

委託先や子会社、海外支店等のシステム接続先を経由し自社が侵害されることを指します。海外では「Island Hopping Attack」と呼ばれることが多いようです。典型的な攻撃としては、標的の企業・組織があり、標的への侵害を成功させるため標的よりセキュリティ対策の甘い委託先や子会社等から侵入し標的へ至る攻撃があります。このような攻撃は国家を背後に持つ攻撃者による高度な攻撃であり、自社・自組織に発生する可能性は小さいと思っておられる方も多いでしょう。筆者もこの攻撃が発生する可能性のある企業・組織は少ないと思っています。しかしながら、別の攻撃、例えば侵入型ランサムウェア攻撃では、侵入に成功した場所から侵害を広げていった結果、別の企業・組織への侵害に至る「成り行き型」ともいうべき攻撃が発生しています。この後者の攻撃は、ほとんど全ての企業・組織に発生する可能性があります。

サードパーティ経由の情報漏えい

委託先や利用しているサービスの事業者がサイバー攻撃を受け、自社の情報が漏えいすることを指します。これは厳密にはサードパーティリスクでありサプライチェーンとは別と言うこともできますが、いずれにしても併せて整理し対策を行う必要のあるリスクです。前述の英NCSCのWebコンテンツでもSupply Chain Attackの例として「Third party data stores」が挙げられています。

これらの類型はそれぞれが別の話と言えるぐらい異なった性格を持っています。そのため、サプライチェーンにおけるサイバーセキュリティについて会話を行う際には、上記のどの類型についての話なのかを意識しないと話が噛み合わない可能性があります。また、自社・自組織にとって関連性が高い類型を明確化することで、具体的な対策強化が行えると思います。

以降は、それぞれの類型について、詳しく見ていきましょう。

サイバー攻撃によるサプライチェーンの滞留

この類型のリスクを世の中に知らしめたのが2022年3月に発生した小島プレス工業（トヨタ自動車の主要サプライヤーの1社）におけるサイバー攻撃被害によるトヨタ自動車の国内全工場操業停止です。この事例については既にいくつものメディアで取り上げられていますので、経緯等は省略しますが、筆者がポイントだと思う点は以下です。

1. 小島プレス工業は唯一無二のサプライヤーだった（代替サプライヤーなし）
   
   
2. トヨタ自動車は高度なサプライチェーン管理を行っており、サプライヤーとのシステム接続も導入していた。小島プレスも受注や納入のシステム化を進めていた
   
   
3. 小島プレス工業の製造ライン自体はサイバー攻撃の被害を受けていない。しかし、受注や納入に関するシステムがサイバー攻撃の影響で停止せざるを得なくなったことで部品の納入ができなくなった
   
   
4. 手作業（＝システム化以前の作業）を知っている社員がいたため手作業によって早期仮復旧の実現と1ヶ月にも及んだ仮復旧期間を乗り越えることができた
   
   

２はこの事案の重要な背景です。ITによる管理高度化・効率化の進展によってITが止まるとOT（要は機械）が動かせなくなってしまう状態になっていたのです。製造業におけるITの活用推進は、年月をかけて段階的に進むことが多く、段階的に進むが故にITにおけるサイバーセキュリティ対策の重要性を認識しないまま臨界点（ITが止まるとOTが動かせなくなる状態）に達してしまうケースが出てしまうと考えています。小島プレス工業の件が大きく報道されたこともあり、多くの製造業の方がこのリスクに気付いて対策を講じたことと思いますが、この類型における対策で最も重要なことはまさに「気付き」です。以下の3要素を評価軸に自社サプライチェーンのサイバー攻撃リスクマップを作成することで弱い部分に気付き、対策を進められるといいのではないでしょうか？

• 代替サプライヤーの有無
• ITの依存度
• IT停止時の代替手段

システム的なサプライチェーンにおいても、自社事業の遂行における外部サービスの利用や自社システムと外部システムとの連携が拡大しており、サイバー攻撃のリスクが高まっていると言えます。このリスクを更に高めている要因がクラウドコンピューティングの拡大です。皆さんの会社・組織でも利用サービスや連携先のシステムがクラウド上で稼働していることが増加しているのではないでしょうか。以前の記事「なぜ起きるクラウド経由の情報流出やクラウドへのサイバー攻撃」で記載した通り、残念ながら、現状ではクラウド上のシステムの方がオンプレミスのシステムよりサイバー攻撃を受けるリスクが高いと言わざるを得ません。

サイバー攻撃によってシステム的なサプライチェーンが滞るリスクへの対策として以下が挙げられます。

• 相手先のチェックや要求事項にサイバーセキュリティ対策を明示
• コンティンジェンシープラン（CP）の整備

これらは従来から行われているところも少なくないでしょう。しかしながら、今の状況に即した内容にブラッシュアップする必要があります。相手先のチェックやサイバーセキュリティ対策の明示については、利用サービスや連携先のシステムがクラウド上で稼働している場合を想定した内容の追加。CPについては、サイバー攻撃による停止は、数日から数週間、場合によっては1ヶ月にも及ぶ可能性があるため、長期間の運用に耐えられる内容への見直しなどです。

（「サプライチェーンにおけるサイバーセキュリティリスクについて（後編）」に続く）

＜参考情報＞

なぜ、SSL-VPN製品の脆弱性は放置されるのか ～“サプライチェーン”攻撃という言葉の陰で見過ごされている
攻撃原因について～（出典：JPCERTコーディネーションセンター）
https://blogs.jpcert.or.jp/ja/2022/07/ssl-vpn.html

Supply chain security guidance（出典：NCSC）
https://www.ncsc.gov.uk/collection/supply-chain-security