日本に目立つ、取引先から発生するセキュリティ被害
はじめに
情報セキュリティリスクは、外部の取引先や協力会社で発生したインシデントが原因で自社にも影響が及ぶ可能性があります。例えば、取引先でのハッキング被害で自社にも影響が及ぶことや、共有している重要情報が漏洩してしまうといったインシデントが想定されます。
これは、国際的な注目度が高まっているセキュリティ上の課題であり、日本でも重視されています。取引の開始や継続のために、一定の情報セキュリティ対策を講じていることが条件となる場合もあり、各業界団体でもガイドラインを策定する動きも出ています。
「ジョーシス式ITガバナンス」の第6回は、取引先という視点から情報セキュリティに対する取り組みを考えていきます。
1. 半数近くの企業が取引先経由での被害拡大を経験
まず、国際機関や専門業者による報告書を引用しながら、課題の大きさを把握していきます。
一つ目は、世界経済フォーラム(WEF)の「世界サイバーセキュリティ概観2024」(Global Cybersecurity Outlook 2024)です。
過去1年間で経験した重大インシデントについて、取引等の第三者が原因だったと41%が回答しています。WEFは世界の経済界・財界などのリーダーたちがコミットする組織です。つまり、この話題が上げられていることは、今、取引先・協力企業・子会社といった第三者を経由した情報セキュリティが重大な経営課題であることを物語っています。
また、ウイルス対策ソフトウエア等で知られるトレンドマイクロ社のデータでも類似の結果が示唆されています。第三者に対するサイバー攻撃で自社に被害が及んだ事例のうち、44%が取引先経由という結果が出ています。
2. 日本での動きと特色
2.1 日本で目立つリスク
日本に関しては、米国セキュリティ・スコアカード社が興味深い報告書「世界のサードパーティ サイバーセキュリティ侵害に関するレポート」を公表しています。
同レポートは国際比較をしており、第三者原因でサイバー被害が発生した国は、日本が最も多く、48%だったとしています。
同レポートは、「日本」という項目を特別に設け、日本で高い数字が出た背景について以下の通り問題提起しています。
長年にわたる相互信頼、友好関係、投資関係に基づく日本企業の「系列」は、長きにわたり、日本経済とサプライチェーンに垂直統合の傾向をもたらしてきました。このモデルは今日にいたるまで、日本のビジネス文化の核であり続けています。しかし、1990 年代以降、多くの日本企業は、過去に、ほとんど、あるいは、まったく関係がなかった企業との間で、競争原理や市場原理、契約に基づいた企業間取引をするようになりました。ここで一つの疑問が浮上します。それは、日本における第三者経由のサイバー侵害は、従来の系列内から頻繁に発生するのか、それとも新しいベンダーとの契約から発生するのか、あるいは、その両方から発生するのか、という疑問です。
レポートでは結論は導かれていませんが、日本独特の商習慣が影響している可能性を検討する価値があるかもしれません。
2.2 業界も対策に乗り出す
そして、日本国内ではいくつかの業界団体が取引先の情報セキュリティに注目した対策を取り始めています。大きな動きでは、2020年に日本自動車工業会 (自工会)と日本自動車部品工業会 (部工会)が「自動車産業サイバーセキュリティガイドライン」を策定しました。その後、改訂が続いており、現在は2023年3月に発表された第2.1版が最新となっています。
改訂が行われていることは、自動車業界における情報・サイバーセキュリティ対策の重要性に認識の表れとみられます。また、自動車部品メーカーで発生したインシデントがきっかけで、完成車メーカーの生産ラインが停止したなど、具体的に重大な事例が発生していることも影響してる模様です(下記事例参照)。
3 .取引先で発生したインシデントから被害が広がった事例
実際のインシデント事例は多く存在していますので、いくつか上げておきましょう。
事例1) 米国ネットワーク・システム監視ソフトプロバイダー(2020年)
同社が提供するソフトウエアのアップデートプログラムにマルウェアが挿入された。影響を受けた顧客は約1万8000社と推定。インシデント対とデジタルフォレンジックのために年間収益の11%相当となる1200万米ドルのコストを費やした。一部には保険損失額が9000万米ドルとの推定もある。
事例2) 欧州のホテル予約システム提供会社(2023年)
日本国内のホテルが宿泊予約情報の管理に利用していた欧州系ホテル予約サービスに不正アクセスが発生。ホテルの顧客情報が流出。
事例3) 日本の自動車部品メーカー(2022年)
自動車部品メーカーがランタイムの被害を受け、納入先の完成車メーカーの14か所の工場で計28ラインが止まり、約1万3000台の生産に影響が発生。
4.状況を把握し、取引先と共に取り組む
それでは、取引先を起点とした情報セキュリティのリスクに対してどのような対策を採るべきでしょうか。自社が取引先となっている視点と、自社が他社を取引先として関係を持っている場合という視点があります。
4.1 SaaS等クラウドのリスク把握は基本の一つ
まず、どちらの視点からも共通して考えておくべきことは、SaaS(Software as a Service)等クラウドサービスの拡大を前提とした対策です。前半で触れたWEFのDirector of Strategic Alliancesでセキュリティ専門家のAnna Sarnek氏は、現代ビジネスにおけるSaaSの重要性を指摘した上で、下記のように警鐘を鳴らしています。
SaaSの使用に大きく依存する現代の分散型インフラストラクチャーは、企業が保有するデータや、さまざまな処理プロセスに対して、監視下におかれていないアクセスが生じるリスクを無限に生み出しています。クラウド環境を悪用するために、攻撃者は誤った設定、人為的ミス、ソーシャルエンジニアリング、認証情報(クレデンシャル)の不正入手、その他の攻撃方法を利用して、重要なビジネス データやアプリケーションを侵害していきます。
情報セキュリティ対策にはさまざまな論点がありますが、急速に利用が広まっているSaaS等クラウドサービスの管理は優先度が高いと考えられます。数十や100を超えるサービスを導入した結果、IDの管理が仕切れなかったり、情報システム部門の管轄外で部門単位や個人で導入するシャドーITが存在します。管理漏れのSaaSのIDとパスワードが部外者に利用されて、社内の重要な情報にアクセスがされてしまうリスクがあります。
そして、サイバーセキュリティの基本として、米国・国立標準技術研究所(NIST)が策定したサイバーセキュリティフレームワークに基づく、「把握・防御・検知・対応・復旧」という流れがあります。把握が基本中の基本となります。現状を把握をしていなければ、何に対して予防をすべきなのかが曖昧となり、インシデントが発生した場合の経路特定も困難となります。
4.2 規制を考慮しつつ、取引先と共に対策を
自社の守りとなる基本部分を対策しつつ、取引先との間で情報セキュリティの対応状況を確認していくことが重要です。
取引先に対する過度な要求は、独占禁止法や下請法に違反する恐れがあります。ただ、関係省庁は要求すること自体が、直ちに独占禁止法上違反とはならないとの見解を示しています(2022年、経済産業省・公正取引委員会「サプライチェーン全体のサイバーセキュリティ向上のための 取引先とのパートナーシップの構築に向けて」)。
こうした法律や関係省庁・機関の見解、ガイドラインなどを踏まえて、自社と取引先の情報セキュリティ対策を講じていく必要があるでしょう。
おわりに
自社と取引先の「継ぎ目」に当たる部分は、管理が行き届かず、より脆弱な体制の企業側で問題が発生するリスクがあります。とくに日本では、取引先から生じるインシデントが多いという調査結果も紹介しました。
この課題については、まだ複数の論点が残されており、今後も本連載で取り上げていきます。まずは、基本的なところとして、SaaSの「把握」から入ることがスタート地点と言えるでしょう。
ジョーシスは、SaaS管理プラットフォーム(SMP:Saas Management Platform)であり、SaaS等クラウドサービスの一元管理やシャドーITの検知のほか、ITデバイスのアウトソース・管理といった統合管理プロダクトを提供しています。また、SaaS審査やコスト最適化のご相談にも対応しています。少しでも気になることがあれば、気軽にお問い合わせください。
記事で取り上げて欲しいテーマやご意見・ご感想等も歓迎です。
お問い合わせ note@josys.com
ジョーシスについて https://jp.josys.com/
執筆者:川端隆史 ジョーシス株式会社シニアエコノミスト
この記事が気に入ったらサポートをしてみませんか?