サプライチェーン攻撃対策への対策が不足、取引先も巻き込み『検知』『対応』能力強化を-アスキー他 (2018年8月13日)

サプライチェーン攻撃対策への対策が不足、取引先も巻き込み『検知』『対応』能力強化を-アスキー他 (2018-08-13)
災害や事故によるサプライチェーン断絶リスク対策は進んできたが、サイバーアタックへの備えは不十分との調査結果が、CrowdStrike社から発表されたのとほぼ時を同じくして、米国政府の国土安全保障省が専門部署「全米リスク管理センター(National Risk Management Center )」の設置が発表されました。産業分野へのサイバーアタック対策としては、日本でも経済産業省の「産業サイバーセキュリティ研究会」が昨年12月から検討を進めていますが、米国政府の危機感は非常に強く、センターを設立する運びになったと説明されています。その発表の際には、ニールセン米国土安全保障長官は「非常事態にある。もはや飛行機を狙うのではなく、カテゴリー5(最大規模)のハリケーン並みのサイバーアタックが官民共に発生する可能性がある」との見解を示しています。また7月末には、米国防総省下のNCSC(米国コンピュータセキュリティセンター)からも、レポート「2018年度海外からのサいバー空間での経済スパイ行為(2018 Foreign Economic Espinage in Cyberspace)」が出されました。このような米国政府の動向と同タイミングで発表されたCrowdStrike社の調査レポートでは、いかが指摘されています。・この調査は、グローバル8カ国（米国／カナダ／メキシコ／英国／ドイツ／オーストラリア／シンガポール／日本）で今年（2018年）4～5月に実施した。日本でも100名の回答を得た。・サプライチェーン攻撃に対して「包括的な対応戦略を策定している」企業は半数未満。自社経営陣の認識不足や予算不足の回答は6割にもなった。・サプライチェーン攻撃は、自社だけでなく、サプライヤーも含めたサプライチェーンの脆弱なところに対して行われる。・「たとえ顧客情報などがサプライヤー経由で漏洩したのだとしても、最終的には自社（大企業）の責任が問われることになる。まずは、企業としてサプライチェーン攻撃の脅威に注目すること。そして、サプライヤーや取引先も巻き込んで、よりセキュアな環境を共同で構築していく必要がある」・したがって、自社内での対策だけでなくサプライヤー／取引先企業のセキュリティ状況も調査し、改善を促していくことが求められるは、まだ不十分である。経済産業省が進めているサイバーセキュリティ対策も、サプライヤーを含めたサプライチェーンを対象としています。経済産業省の検討状況を見ながら、現在あまり考えられていない、サプライヤーへのサイバーアタック対策の整備状況の確認が、今後求められるようになると思われます。参考) ■CrowdStrike社の調査結果関連調査レポート：Securing the supply chain - CrowdStrike/Vanson Bourne https://www.crowdstrike.com/resources/wp-content/brochures/pr/CrowdStrike-Security-Supply-Chain.pdf 「複雑なサプライチェーン攻撃に早急な対応を」――CrowdStrikeがセキュリティ意識調査結果を発表－エンタープライズジン https://enterprisezine.jp/article/detail/11037 71% of businesses don't hold suppliers to the same security standards - Supply Chain Dive https://www.supplychaindive.com/news/software-supply-chain-cyber-attack-crowdstrike/528494/ ■米国政府動向米、サイバー攻撃対策センター新設　銀行など保護へ-ウォールストリートジャーナル日本語版 https://jp.wsj.com/articles/SB10410704074879863304104584380604054906992 The DHS is setting up a new way for companies to share info about security breaches, preparing for a cyberattack 'hurricane'-CNBC https://www.cnbc.com/2018/07/31/dhs-head-cat-5-cyber-hurricane-is-forecast-heres-what-were-doing-a.html US forecasts cyber ‘hurricane’-CIPS(Supply Management) https://www.cips.org/en/supply-management/news/2018/august/homeland-security-forecasts-cyber-hurricane/ レポート「2018年度海外からのサイバー空間での経済スパイ行為-NCSC(米国コンピュータセキュリティセンター) https://www.dni.gov/index.php/ncsc-newsroom/item/1889-2018-foreign-economic-espionage-in-cyberspace Cyberattacks targeting the software supply chain nearly double - Supply Chain Dive https://www.supplychaindive.com/news/cyberattacks-target-software-supply-chain/528919/