セキュリティの最新状況②
~サプライチェーンの影響~
サプライチェーン攻撃では、標的とする企業を直接狙うのではなく、関連企業や取引先企業といったセキュリティ対策が不十分であろう企業を狙います。関連企業や取引先企業を経由して、標的となる企業へ侵入やサイバー攻撃をしかけます。
Point① お客様からの信頼のために
サプライチェーン攻撃は、お客様にも被害が発生する可能性があります。自社のセキュリティを強化することは、お客様の安全・安心を守ることにもつながります。
お客様から求められる代表的なこと
- セキュリティルールの策定・実行・見直し
- 従業員教育
- 監査等への協力
セキュリティルールの策定や従業員教育をして、セキュリティ事故を起こさないように努める必要があります。セキュリティ対策に不備があった場合、責任を問われる可能性があります。
Point② サプライチェーンの被害にあわないために
自分の会社も委託先の影響により、サプライチェーン攻撃の被害にあう可能性があります。関係者が協力しあい、セキュリティ強化を目指していくことが大切です。
- 関係者との連携
- 委託先との契約の明確化
- 委託先の監督・改善要望
自社の委託先がセキュリティ事故を起こさないという保証はどこにもありません。委託先との契約を明確化し、セキュリティ事故を起こさないように監督しましょう。
One point
2022年2月、自動車メーカーが『国内仕入先におけるシステム障害の影響を受け、3/1(火)(1直・2直ともに)国内全14工場28ラインの稼働を停止することを決定いたしました。お客様及び関連仕入先の方々には、様々なご不便をお掛けすることをお詫び申し上げます。』と発表しました。国内仕入先企業も3月7日には『システム障害事案発生のお詫び』という発表をしています。
国内仕入先企業は自動車メーカーの部品製造を担い、サプライチェーンを担う1社でした。この1社がサイバー攻撃を受け、業務が停止したことにより、自動車メーカーの工場が停止するという事態になりました。まさに、サプライチェーン攻撃です。
国内仕入先企業は攻撃発覚後ネットワークを遮断し対応にあたっています。これにより、業務も一時中断せざるを得ない状態となり、自動車メーカーへの部品供給の停止、工場の停止につながりました。セキュリティ対策としては、対策本部の立ち上げや侵害の調査を、セキュリティ専門家(外部含む)と一緒に対応していただろうことがうかがえます。
自動車業界にかかわらず、どの企業も1社ですべて製品やサービスが完結するということは少なくなっています。
セキュリティを強化することは、お客様や関係者を守るということにもつながっています。