• 日本語
  • English

コラム

サイバーセキュリティ対策

サプライチェーンリスクとは?実際の被害事例と企業が今すぐ取るべき対策を解説!

本コラムでは近年、深刻化しているサプライチェーン上のセキュリティリスクについて、実際に起きた事例から共通点を洗い出し、今実施すべき有効なセキュリティ対策について解説いたします。

サプライチェーンリスクとは

サプライチェーンリスクとは、企業が外部の取引先・委託先・クラウドサービス・ソフトウェアベンダーなど自社以外の組織と繋がることによって発生する、セキュリティ・ビジネス上のリスクの総称のことをいいます。特に近年は、サイバー攻撃におけるサプライチェーンの被害が深刻化しており、自社のセキュリティ対策が万全でも、取引先のセキュリティ上の弱点から侵入されてしまうケースが急増しています。



実際に起きた、サプライチェーン情報漏洩被害

◆事例1:某宿泊サイトに登録されている個人情報が漏洩

標的にされたのは宿泊サイトに登録している宿泊施設

2023年、世界的宿泊予約サイトを悪用したサプライチェーン型攻撃が発生しました。攻撃者は旅行者を装ったフィッシングメールをホテルに送り、ホテル担当者の端末をマルウェア感染させてログイン情報を窃取。盗んだ正規アカウントで宿泊予約サイトに不正アクセスし、公式システムを使って宿泊客に偽サイトへ誘導するフィッシングメッセージを送信し、個人情報やクレジットカード情報が盗まれる被害が発生しました。



◆事例2: 印刷委託先企業で約150万件の情報流出

委託先のVPN脆弱性から150万件の顧客データが漏洩

2024年5月には、全国の自治体や企業の印刷・情報処理業務を担当していた業務委託先企業がランサムウェア攻撃を受け、預かっていた約150万件の個人情報が漏洩する事件が発生しました。調査の結果、VPN機器の脆弱性を悪用して侵入されたこと、委託元企業が提供したデータが委託先に残っていたことが被害拡大の要因でした。



◆事例3: 某大手SNS企業で約44万人の個人情報が漏洩

委託先の従業員が利用しているPCがマルウェアに感染

2023年に、某大手SNS企業で、サプライチェーン攻撃を原因とする大規模な情報漏洩が発生しました。攻撃者はまず委託先の従業員PCをマルウェアに感染させ、入手した正規アカウントを悪用して関連企業のシステムに侵入。最終的にはSNS企業の内部システムにアクセスし、約44万件の個人情報が流失した可能性があるとされています。


3つの事例から見える共通点

これら事例の共通点として、サイバー攻撃の侵入口はどれも自社ではなく取引先から始まっていることが挙げられます。また、攻撃者は踏み台となる企業を攻撃し、正規ユーザーになりすまして侵入するため、検知が遅れてしまいます。そして一度、侵入されると自社だけでなく多数の企業に連鎖的に被害が拡大します。


重要なのは「データ自体」を保護すること

近年のサプライチェーン攻撃は「どこから侵入されるか」を完全に予測することが困難になっています。取引先の脆弱なアカウント、委託先のVPN機器、海外子会社の権限管理など、侵入口は多岐にわたり、いくら自社の境界防御を強化しても限界があります。つまり、「侵入をゼロにする」という発想だけでは企業を守り抜くことは難しい時代に突入しています。だからこそ、「データそのものを守る」というアプローチが重要になってきます。ネットワークや端末のセキュリティも大切ですが、ファイル自体に防御機能を持たせることができれば、万が一ネットワークやデバイスが突破されても、肝心の情報は読み取れません。特にサプライチェーンでは、さまざまなデータが日常的に社内外を行き来します。データを「安全な状態のまま」移動できれば、取引先や委託先のセキュリティレベルに左右されるリスクが大幅に低減されます。こうした背景から、ファイル自動暗号化は「最後の砦」として企業のセキュリティ戦略に欠かせない要素となりつつあります。

サプライチェーンリスクから組織を守る最後の砦となる 次世代ファイルセキュリティInterSafe FileProtectionとは?

InterSafe FileProtectionは、保存した瞬間にファイルを自動暗号化し、取引先や外部にデータが流出しても内容を保護する「 次世代ファイル自動暗号化ソリューション 」です。ユーザーは特別な操作を必要とせず、ファイルの拡張子も変わらないため業務の流れを阻害しません。社内ではいつも通りダブルクリックで閲覧でき、権限の無い外部環境では開けないという「利便性と強固さ」を両立しています。サプライチェーン攻撃が増加する中でデータを暗号化したまま取引先とやり取りできるため、取引先でファイルが窃取されてもファイルの中身が開かれることはありません。


ILPC.png

クラウド版のInterSafe FileProtection Cloudは、自社だけでなく、部品メーカーやサプライヤーにおいても同一の暗号化キーでファイルの運用が可能です。また、InterSafe FileProtection を導入いただくことで、経済産業省が策定に向けて準備している「セキュリティ評価制度(SCS評価制度)※1」の特定項目の要件を満たすことに貢献できます。今後は、このセキュリティ評価制度を軸にセキュリティを強化していくことが企業にとって重要なテーマとなっていくでしょう。

※1セキュリティ評価制度(SCS評価制度)…企業のサプライチェーン全体におけるサイバーセキュリティ対策状況を可視化し、リスク低減と標準化を目的とした評価制度です。共通の基準で評価することで、発注企業と受注企業、双方のセキュリティ水準を確認しやすくします。

ファイルを守ることが、サプライチェーン対策の出発点

今回は、急増しているサプライチェーン上のセキュリティリスクと、実施すべきセキュリティ対策について簡単にご紹介しました。InterSafe FileProtection はユーザーが意識せずに暗号化ファイルの作成、編集、閲覧ができるソリューションです。アンケートでは約9割のお客様が製品に「満足している」と評価いただいています。「何からセキュリティ対策を始めればよいかわからない」というお客様も多いと思います。サプライチェーン攻撃に対して「社外に出ても安全なファイル」というシンプルかつ効果の高い対策は、最初の一歩として最適です。 ぜひ、この機会にご検討ください。


contact.png

#ファイル暗号化 #InterSafe FileProtection