CrowdStrike Japanは、サプライチェーン攻撃に関する調査を発表。日本では、サプライチェーン攻撃に対する包括的な対応策を行っている企業が37%に留まり、調査対象となった国のなかで、最も低いことがわかった。
これは、世界8カ国(米国、カナダ、メキシコ、英国、ドイツ、オーストラリア、日本、シンガポール)のセキュリティ担当者1300人を対象に行った調査で、日本からは100人が回答している。
オーストラリアと結んで、ビデオ会議で会見に参加したCrowdStrike, Technology Strategy担当バイスプレジテントのMichael Sentonas(マイケル・セントナス)氏は、「サプライチェーン攻撃とは、第三者組織を介した攻撃であり、あらかじめ感染しているハードやソフトを活用して攻撃したり、取引先を踏み台にして攻撃を行うといったものである。攻撃者は、周辺に存在するビジネスパートナーや提携先企業、サプライチェーンを狙って、組織に入り込むことになる。対象は小規模事業者になるため、攻撃者はその方が簡単に侵害できると考えている。企業にとっては、2017年以降、サプライチェーン攻撃が深刻になっており、対策がより重要なものになってきている」と説明。
調査では、97%に達する回答者が、今後1年の間に、組織にとって懸念となるサイバー攻撃を受けると考えているほか、79%の回答者がサプライチェーン攻撃が、今後3年以内に、自社にとって最大のサイバー脅威のひとつになると回答していることなどを示した。
セントナスバイスプレジデントは、「サプライチェーン攻撃において、マルウェアやフィッシング、パスワード攻撃、標的型攻撃などが懸念され、さらに複合型の攻撃も増えており、対策が困難になってきている」と指摘。
「日本の調査結果をみると、67%の回答者が、サプライチェーン攻撃の影響の大きさと深刻さを見落としており、リスクに対する認識が欠けている。対策への取り組みが遅れているのが実態だ。サプライチェーン攻撃への対策を行っている企業は、全世界で見ても、49%と半分以下になっている。米国では60%、英国では57%が対策を行っていると回答しており、これまで大きな被害にあってきた経験が生きている。だが、日本では、総合的な戦略を策定していると回答した企業はわずか37%となり、ドイツとともに最も低い。とくに、戦略やプランがまったくないという企業の比率が日本ではかなり多いのは問題である」とした。
また、2017年には大規模攻撃により、サプライチェーンの脆弱性が注目を集めたにも関わらず、32%の企業しか、12カ月以内に、サプライヤーのセキュリティ調査を行っていないことも浮き彫りになった。
「顧客のデータを守る、IPを保護する、従業員のIDを守ることはすべての企業の責任であり、サプライヤーのセキュリティを確認することは大切である。日本では、過去12カ月以内に完全なレベルのサプライヤー査定を実施した企業は22%しかない。5社に4社がセキュリティリスクにさらされていることになる」と、日本の企業における課題を示した。
さらに、過去にサプライチェーンの攻撃を受けた経験があるとした企業は66%に達し、さらに、32%が直近12カ月以内に攻撃を経験しているという。
また、サプライチェーン攻撃によって、平均して110万米ドルの経済損失があり、日本ではそれに匹敵する平均91万2000米ドル(約1億円規模)の経済損失があるという。
調査では、回答者の約3分の2が適切な準備ができておらず、脅威に対応する戦略がなく、担当者が適切な対応ができずに、攻撃者はあらゆる機会を活用することができるような状態であったこと、また、34%の回答者が過去にサプライチーン攻撃を受けたときに対応策が存在したと答えたが、「従来の対応戦略では侵害を防ぐことができず、経済的損失を受けてしまっている。対策で不十分であったともいえる」とも語り、「パートナーを介した攻撃への対策は難しいのが実態であり、そこに対策が不十分であったり、対策が行われていない理由がある」と指摘した。
調査結果から、セントナスバイスプレジデントは、「日本でもサプライチェーン攻撃の被害が深刻であるという認識が高まってきているが、3分の1しか、サプライヤーに対して、綿密なセキュリティ調査を行っていないことがわかった。これが大きなインシデントになる可能性がある。これを未然に防がなくてはならない。サプライチェーン攻撃が、世界中に深刻な被害を与える可能性があることを知らなくてはならない」と述べた。
続けて、「国家が背景にあるサイバー攻撃が存在することは、国にとっても、企業にとっても深刻な課題になる。金融機関への攻撃にも国家が暗躍していると思われるものがある。南米の金融機関では、数1000万米ドルの損害があったという事例もある。また、企業を狙ったランサムウェアも増加も大きな課題となっている。なかには、5万米ドルの身代金を要求する例も出ている。今後、ランサムウェアの件数はもっと増えていくだろうし、大規模なものも増加するだろう。そして、マルウェアフリーと呼ばれるマルウェアを特定できない形で攻撃を仕掛ける例が増加している。これは、個人情報や権限、パスワードを盗んで、侵害するもので、今後、企業にとって大きな脅威になる」と課題をあげた。
「企業は、サプライチェーン攻撃に焦点を当てること、サプライヤーを巻き込んで、安全に環境を構築することが大切だ。また、技術だけでなく、迅速に対応するためのプロセスを構築することも重要である。攻撃者の目的は、金銭やIPを搾取することにある。マルウェアを侵入させることが目的ではない。だが、企業はマルウェアの排除にばかり関心を寄せている点も課題である」などと提言した。
CrowdStrikeは、クラウドベースの次世代エンドポイントプロテクションを提供するセキュリティベンダーで、次世代アンチウイルス、エンドポイントセキュリティ(EDR)、マネージド脅威ハンティング、ITハイジーンを組み合わせて、一つの軽量エージェントとして提供。機械学習を兼ね備えたクラウド型エンドポイントプロテクションのパイオニアであり、既知や未知を問わずサイバー攻撃から組織を確実に守ることができるのが特徴だという。
「機械学習は、未知のマルウェア、複雑なマルウェアを防ぐことに活用している。また、現在、起こっていること検知して、それへの対策を行うEDRによる対応策を促すことにも活用している」(セントナスバイスプレジデント)という。
CrowdStrike Japan ジャパン・カントリー・マネージャーの河合哲也氏は、「CrowdStrikeは、マクニカネットワークスを通じて、2013年から日本でサービスを提供してきた経緯があり、2017年に日本にオフィスを設置した。2017年は、新規契約だけで前年比208%増の成長を遂げており、国内EDR(エンドポイントセキュリティ)市場では、3年連続でナンバーワンシェアを獲得している」とコメント。「いまや攻撃者は、エンドポイントまで侵入してくる。CrowdStrikeは、その上でどう対策を取るのかといった点にフォーカスした技術を提供しており、顧客の防御力を高めることができる」とした。