Blog"   調達購買関連 最新トピックス
サプライチェーン攻撃対策への対策が不足、取引先も巻き込み『検知』『対応』能力強化を-アスキー他 (2018-08-13)

災害や事故によるサプライチェーン断絶リスク対策は進んできたが、サイバーアタックへの備えは不十分との調査結果が、CrowdStrike社から発表されたのとほぼ時を同じくして、米国政府の国土安全保障省が専門部署「全米リスク管理センター(National Risk Management Center )」の設置が発表されました。

産業分野へのサイバーアタック対策としては、日本でも経済産業省の「産業サイバーセキュリティ研究会」が昨年12月から検討を進めていますが、米国政府の危機感は非常に強く、センターを設立する運びになったと説明されています。

その発表の際には、ニールセン米国土安全保障長官は「非常事態にある。もはや飛行機を狙うのではなく、カテゴリー5(最大規模)のハリケーン並みのサイバーアタックが官民共に発生する可能性がある」との見解を示しています。

また7月末には、米国防総省下のNCSC(米国コンピュータセキュリティセンター)からも、レポート「2018年度海外からのサいバー空間での経済スパイ行為(2018 Foreign Economic Espinage in Cyberspace)」が出されました。

このような米国政府の動向と同タイミングで発表されたCrowdStrike社の調査レポートでは、いかが指摘されています。

・この調査は、グローバル8カ国(米国/カナダ/メキシコ/英国/ドイツ/オーストラリア/シンガポール/日本)で今年(2018年)4~5月に実施した。日本でも100名の回答を得た。

・サプライチェーン攻撃に対して「包括的な対応戦略を策定している」企業は半数未満。自社経営陣の認識不足や予算不足の回答は6割にもなった。

・サプライチェーン攻撃は、自社だけでなく、サプライヤーも含めたサプライチェーンの脆弱なところに対して行われる。

・「たとえ顧客情報などがサプライヤー経由で漏洩したのだとしても、最終的には自社(大企業)の責任が問われることになる。まずは、企業としてサプライチェーン攻撃の脅威に注目すること。そして、サプライヤーや取引先も巻き込んで、よりセキュアな環境を共同で構築していく必要がある」

・したがって、自社内での対策だけでなくサプライヤー/取引先企業のセキュリティ状況も調査し、改善を促していくことが求められるは、まだ不十分である。

経済産業省が進めているサイバーセキュリティ対策も、サプライヤーを含めたサプライチェーンを対象としています。経済産業省の検討状況を見ながら、現在あまり考えられていない、サプライヤーへのサイバーアタック対策の整備状況の確認が、今後求められるようになると思われます。

参考)
■CrowdStrike社の調査結果関連
調査レポート:Securing the supply chain - CrowdStrike/Vanson Bourne
https://www.crowdstrike.com/resources/wp-content/brochures/pr/CrowdStrike-Security-Supply-Chain.pdf

「複雑なサプライチェーン攻撃に早急な対応を」――CrowdStrikeがセキュリティ意識調査結果を発表-エンタープライズジン
https://enterprisezine.jp/article/detail/11037

71% of businesses don't hold suppliers to the same security standards - Supply Chain Dive
https://www.supplychaindive.com/news/software-supply-chain-cyber-attack-crowdstrike/528494/

■米国政府動向
米、サイバー攻撃対策センター新設 銀行など保護へ-ウォールストリートジャーナル日本語版
https://jp.wsj.com/articles/SB10410704074879863304104584380604054906992

The DHS is setting up a new way for companies to share info about security breaches, preparing for a cyberattack 'hurricane'-CNBC
https://www.cnbc.com/2018/07/31/dhs-head-cat-5-cyber-hurricane-is-forecast-heres-what-were-doing-a.html

US forecasts cyber ‘hurricane’-CIPS(Supply Management)
https://www.cips.org/en/supply-management/news/2018/august/homeland-security-forecasts-cyber-hurricane/

レポート「2018年度海外からのサイバー空間での経済スパイ行為-NCSC(米国コンピュータセキュリティセンター)
https://www.dni.gov/index.php/ncsc-newsroom/item/1889-2018-foreign-economic-espionage-in-cyberspace

Cyberattacks targeting the software supply chain nearly double - Supply Chain Dive
https://www.supplychaindive.com/news/cyberattacks-target-software-supply-chain/528919/