〇 政府発表の注意喚起からひも解くサプライチェーンセキュリティーのポイント。
国も憂慮する事態になったサプライチェーン攻撃。
生産現場のデジタル化が進む一方、ものづくり企業はサイバー攻撃という深刻な課題に直面している。被害はサイバー空間にとどまらず、生産設備やラインの稼働に影響を及ぼす。場合によっては工場が生産停止に追い込まれることもある。
ここ数年、そうした深刻な事案が国内外で多発している。生産停止によって企業は大きな経済的損失を被り、社会的信用も低下する。復旧には多大なコストと手間がかかり、これも経営を圧迫する。
さらに注目すべきは、サイバー攻撃の影響が自社だけにとどまらない点だ。2022年2月には大手自動車メーカーの国内全生産ラインが稼働停止に追い込まれた。取引先の部品メーカーがランサムウエア攻撃を受けたからだ。セキュリティーの手薄なところを足掛かりに、取引のある大手企業へ攻撃を広げていく、いわゆるサプライチェーン攻撃である。サプライチェーンの中に対策が不十分なところがあれば、重大なリスクにつながってしまう。
これを受け、政府は「サイバーセキュリティ注意喚起」を2022年3月1日に発表し、サプライチェーンセキュリティー対策強化の指針を示した。経済産業省などが改訂を進める「サイバーセキュリティ経営ガイドライン Ver3.0」でも「サプライチェーンセキュリティ対策の推進」が明記される見込みだ。手を打たないと、産業や経済に多大なダメージをもたらす――。政府の強い危機意識がうかがえる。
指針やガイドラインが求めているのは、サプライチェーン全体にわたって適切なサイバーセキュリティー対策を講じること。具体的にはビジネスパートナーやシステム管理の運用委託先に対策状況の把握を徹底させ、有事を想定して担うべき役割と責任範囲を明確化する。対策の導入支援や共同実施など、サプライチェーン全体で実効性を高めるための適切な方策も検討する。企業側の対応はもはや“待ったなし”の状況である。
次ページ以降ではサプライチェーンセキュリティーが求められる背景を深掘りし、課題解決に効果的な対策を考えていく。
サプライチェーンを守る3つの有効な方策とは。
サプライチェーン攻撃の足掛かりにされた企業が何の対策も行っていなかったかといえば、答えは「ノー」だ。対策は行っていても、攻撃者はそれを上回る巧妙さで攻撃を仕掛けてくる。
「サイバー攻撃は明らかに悪意があると分かる形では攻めてきません。そこに怖さがあります」とシスコの中河 靖吉氏は指摘する。
たとえば、メールを悪用した攻撃の場合、実在の人物をかたって、メールの文面もそれらしく装う。うっかり添付ファイルを開いたり、記載されたURLをクリックしたりするとマルウエアに感染する(図1)。公開されているオープンソースの中に悪意のあるコードが仕込まれていたり、ソフトウエアのアップデートサーバーを改ざんして偽サイトにアクセスさせ、そこからマルウエアをダウンロードさせる手口もある。
こうなると、事前に攻撃を見破るのは難しい。「侵入されることを前提に、マルウエアをいち早く検知し、被害を極小化する対策が不可欠です」と話す中河氏。政府の指針やガイドラインも有事の際の早急な対応の必要性を重視している。
しかし、その実現のハードルは高い。求められる対策は多岐にわたる上、監視や管理など運用の手間も考慮しなければならない。そのためのコストの捻出が難しい。対応を担う人もいない。これが企業側の本音だろう。サプライチェーンの中で2次受け、3次受けを担う中小企業はなおさら切実な問題だが、各社が足並みを揃えなければ、サプライチェーンセキュリティーは成り立たない。
「大切なことは、有事のリスクとコストを考え、費用対効果を軸に対策の優先度を付けることです」と中河氏は主張する。現実的なアプローチとして、シスコは1.多要素認証による本人認証の強化、2.メールセキュリティーによる脅威侵入リスクの低減、そして3.DNSセキュリティーによる不正通信の検知・防御を提案し、そのためのソリューションを包括的に提供している。
多要素認証とメールセキュリティーで入口対策。
まず、多要素認証を実現するソリューションが、クラウドベースのセキュリティーサービス「Cisco Secure Access by Duo(Duoセキュリティ)」である。ID/パスワードに加え、本人だけが知る秘密の質問への回答やデバイスのハードウエアトークン、指紋などの生体認証を組み合わせることで、認証を強化できる。「本人しか知らないキーワードや本人固有の生体情報がなければ認証されないため、万が一、ID/パスワードが漏えいしても、第三者による不正なログインを防止できます」と中河氏は話す。工場ネットワークへのアクセスのほか、悪意を持ったユーザーの内部不正リスクにも有効だ。
OSやアプリケーションがアップデートされず脆弱性が放置されていたり、アンチウイルスのシグネチャが更新されていなかったりする場合は、アプリケーションやネットワークへのアクセスを制限する機能もある。ユーザーの認証強化だけでなく、デバイスセキュリティーの健全性に基づいた柔軟な制御も行えるわけだ。
ランサムウエアをはじめとするマルウエアは、その多くがメール経由で攻撃を仕掛けてくる。攻撃は巧妙化しており、組織への侵入を100%未然に防ぐことは難しい。攻撃を未然に防ぐ対策に加え、生産現場の中に既に脅威は入り込んでいるという「侵入前提」の対策をセットで考える必要がある(図2)。
次にメール経由の攻撃に有効な手立てとなるのが、クラウド型メール専用セキュリティー「Cisco Secure Email Threat Defense」だ。「高度なファイル/Webレピュテーション、サンドボックス解析などの機能により、既知の脅威はもちろん、未知の脅威やゼロデイ攻撃にも対応し、送受信メールに潜む脅威を高精度に検知・駆除します」と中河氏は説明する。
Secure Email Threat DefenseはMicrosoft 365とAPIで連携する。メールの配送先を決定するMXレコードの変更は不要だ。「API連携後は、メールボックスに保存されている送受信メールがすべて検索対象になります。過去のものも含めてメールに潜む脅威を包括的に検知・駆除できるのです」と中河氏はメリットを述べる。
不正外部通信を遮断し、被害の拡散を防ぐ。
最後に侵入前提の対策だが、これについては、不審な挙動や外部との不正通信を早期に検知する必要がある。その対策に有効なのが、クラウドベースのセキュアDNSサービス「Cisco Umbrella」である。クラウド上のUmbrellaがDNSサーバーの役割を担い、ドメイン名とIPアドレスとの対応付けを行う。「どれが安全なサイトで、どれが不審なサイトか。その判断は常に最新の脅威情報に基づいて行われます」(中河氏)。
マルウエアはターゲットに侵入後、外部のC&Cサーバーへ誘導し、攻撃をエスカレーションしていく。UmbrellaはDNSセキュリティーにより、不正な外部通信を検知・ブロックし、本格的な攻撃の発生を防ぐ。生産現場にはサポート切れのOSを使っている制御端末や、アンチウイルスを導入できないIoTデバイスなどがある。「Umbrellaを活用することで、セキュリティー的に無防備なデバイスも保護できます」と中河氏は語る。このセキュリティー性能は第三者評価機関でも高く評価されている。
メールや外部通信の高精度な脅威検知力は、シスコが誇る脅威インテリジェンスによるものだ。400人以上のセキュリティー専門家が所属する世界最大規模のセキュリティー解析組織「Cisco Talos」が、グローバルの脅威情報を24時間365日収集・解析し、その結果を脅威インテリジェンスとしてシスコ製品・サービスに直ちにフィードバックする。「これにより、未知の脅威やゼロデイ攻撃、巧妙な不正通信も逃さず検知できるのです」と中河氏は語る。
サプライチェーン攻撃は多くの取引先がつながる製造業にとって大きな脅威である。対策が手薄な会社があると、そこが狙われる。サプライチェーン全体でセキュリティーの足並みを揃えることが重要である。
今回紹介したソリューションはいずれも30日間無償でトライアル可能だ。「既存環境にほとんど手を入れることなく、すぐに導入できます。まずは実際に使ってみていただきたい」と話す中河氏。それがサプライチェーンセキュリティー改革の出発点になる。
