もはやセキュリティの社会課題、サプライチェーンリスク
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」9月30日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・国内事例からみる「サプライチェーンリスク」の主な原因
・外部からの直接侵入を防ぎ、安全なテレワークを行うには
今回の解説ニュース
サプライチェーンリスクに関する国内の動向について発表されています。今回はサプライチェーンリスクの事例や、その対策について説明します。
今年3月に自動車部品メーカーが被害を受けたニュースなどは、各種メディアでも取り上げられた、かなり大きなインシデントでしたので、ご覧の皆さんも記憶に新しいかもしれません。もはやセキュリティの社会課題ともいえる、そんなサプライチェーンリスクに関する内容です。
同レポートによると、2022年上半期はサプライチェーンリスクが国内で具体化、最も大きな国内事例として、2022年3月に公表された製造業・自動車部品メーカーにおけるランサムウェア被害を取り上げて、解説しています。
国内事例からみる「サプライチェーンリスク」の主な原因
国内のインシデント調査では外部から直接侵入された事例が目立っていて、その原因として、VPNやRDPなどの外部からアクセスを受ける接点のセキュリティ対策や脆弱性対応が不十分なことによる侵入が挙げられています。
その他にも、外部に持ち出したPCがUSB接続のモバイルWi-FiやSIMなど、グローバルIPが付与された状態でインターネット接続したことによる侵入、仮想プライベートクラウドに移行した内部向けサーバが設定ミスにより外部からアクセス可能なことによる侵入が挙げられています。
VPNとは、Virtual Private Networkの略で、仮想専用線と訳されます。Aさんがテレワークをする際に、オフィスで働いているのと同じようにしたいけど、オフィスのネットワークをAさんの自宅からつながるように、インターネットへ全公開してしまうのは、さすがにセキュリティ上の問題があります。ですので、Aさんのパソコンとオフィスのネットワークを仮想の専用線でつないで、Aさんだけがオフィスのネットワークへつなぐことができるようにした上で、家でもオフィスにいるのと同じようにネットワークが使えるようにする技術がVPNです。
RDPとは、Remote Desktop Protocolの略で、遠隔にあるパソコンを操作するために使われる通信手段の一つです。Aさんがテレワークをする際に、いつも使っていたパソコンを持ち出すことも考えられますが、大切な情報が入ったパソコンをオフィスから持ち出すのは、なくしてしまわないかとか、つないだネットワークでマルウェアに感染しないかなど、心配はいろいろです。とはいえ、自宅とオフィスで別々のパソコンを使い分けていては、仕事がはかどらないかと思います。RDPは、いつもオフィスで使っているパソコンの画面を手元のパソコンに転送する技術です。
VPNとRDPを併用して、テレワークの環境へオフィスにあるパソコンの画面を安全に転送することがよく行われています。
その他のトピック