サプライチェーン攻撃への対策

東京オリンピック・パラリンピックに向けた開催準備に関するニュースが多く報道されている中、セキュリティ事件のニュースも増えています。その背景には、東京オリンピック・パラリンピックの開催国として日本の注目度が高くなる一方で、サイバー攻撃のターゲットとして狙われやすくなっていることがあると言われています。
本コラムでは、最近のセキュリティ動向の中で非常に関心が高まりつつある「サプライチェーン攻撃」を取り上げます。

サプライチェーン攻撃とは

サプライチェーン攻撃とは、2019年と2020年の2年連続で情報処理推進機構（IPA）が発表する「情報セキュリティ10大脅威」の4位に記録されたサイバー攻撃手法の一つで、2020年1月に報道された三菱電機の情報漏洩事件でも使われました。内閣サイバーセキュリティセンター（NISC）やIPAなどの団体は、このサプライチェーン攻撃について様々な注意喚起を行っています。
「サプライチェーン(Supply Chain)」とは、材料調達から製造や販売などのビジネスを複数の企業間で行う物流や流通などの業界で取り入れられる経営手法を従来は指しますが、デジタルトランスフォーメーションが進む現代において、業務のアウトソースやシステム構築の外部委託など、業界を問わずにサプライチェーンが構築されています。
そういったサプライチェーンの脆弱箇所を利用したサプライチェーン攻撃は、業界に関わらず多くの企業が攻撃のターゲットになる可能性があります。

サプライチェーン攻撃の事例と攻撃手法

サプライチェーン攻撃の具体例を見てみると、2017年に発生した事件では攻撃者は委託先が構築したウェブサイトで使用されているオープンソースソフトウェアの脆弱性を利用し、登録者の3万件以上のクレジットカード情報を含む15万件の個人情報が漏えいし800万円を超える被害額が発生しました。また2013年に発生した事件では委託先企業の従業員に対してフィッシングメールを送りターゲット企業への侵入環境を整えた上で攻撃を行い、4000万件のクレジットカード情報と7000万件の個人情報が漏えいしました。結果、その企業は対策費に約60億円を費やしました。
サプライチェーン攻撃と一口に言っても、ソフトウェアの脆弱性を利用した攻撃やフィッシングメールによる詐欺行為など、ありとあらゆる手段が使われます。

サプライチェーン攻撃の対策が難しい理由

前述であるように、ありとあらゆる手段を使ってくる攻撃者から委託先が構築したシステムやアウトソース先に渡した機密情報を守ることは、技術的にも難しく、業務関係者へセキュリティ意識を根付かせるにも時間が必要となり、決して容易ではありません。
また新しいIT技術の導入、業務内容の変更、人材の入れ替わりなどの業務における変化、進化を続ける攻撃手法に対応し続けることは、決して容易ではなく、場合によっては現実的ではない場合もあります。

ファイル暗号化の有効性

そのような中、「ファイル暗号化」が関心を集めています。
攻撃者に渡ったファイルが暗号化されていた場合、ファイルから情報を読み取るには暗号化を解除する鍵（復号鍵）が必要となり、暗号化されたままではファイルを不正に利用できません。よって、あらゆる手法によって機密情報が攻撃者に渡ったとしても、暗号化がされていれば最終的に攻撃者から機密情報を守ることができます。
サプライチェーン攻撃への直接の対策も重要ですが、ファイル暗号化によって、攻撃者によってファイルを持ち出されても問題ない対策を施すことができます。

DataClasysによる対策

DataClasysはどのようなファイルでも暗号化することができ、暗号化されたままファイルを利用することができます。一般的によく使われるパスワード付きzipファイルでは、一度パスワードを入力して展開してしまうと暗号化されていない状態のファイルがPC上に保存されてしまいますが、DataClasysはファイルを常に暗号化した状態で扱うので、暗号化されていないファイルが残ることはなく情報漏えいの心配はありません。
例えば業務のアウトソース先にファイルを支給する際、DataClasysでファイルを暗号化することで、攻撃者による情報漏えいの心配はなくなります。
個人情報や製品情報などの機密情報が含まれているファイルをDataClasysで暗号化することで、確実にサイバー攻撃から保護することができます。

東京オリンピック・パラリンピックの開催国として日本への注目が集まる中、サイバー攻撃は今後さらに増加すると予想されます。その中で現状のセキュリティ対策に不安を感じていましたら、弊社に一度お問合せください。