Malwarebytesはこのほど、「Supply chain related security risks, and how to protect against them」において、サプライチェーンに関するセキュリティリスクとその保護方法について、サイバーセキュリティに焦点を当てて伝えた。
サプライチェーンとは商品が生産者から消費者に届くまでの一連の流れを指し、多くの企業がパートナーとしてこの流れに加わる。そのため、サプライチェーンをセキュリティの観点からみたとき、パートナーを賢く選択することが不可欠だという。パートナーのセキュリティ体制について、お金を支払う側であれば何かと要求できるがその逆の立場では難しく、制御下にない外部組織からの影響を軽減するために、パートナー選びが重要となる。
Malwarebytesはサプライチェーン上で最も弱い組織とならないために、次のようなヒントを挙げている。
- 要求事項を完全に把握するために、安全に保つ必要があるデータの一覧と、誰が何にアクセスできるのかを記録した目録を作成する
- 次にソフトウェアとハードウェア製品の弱点の目録を作成する。この目録によって、インターネットアクセスが必要な部分から機密データを隔離するためにネットワークセグメンテーションを使用するかどうかを決定できる
- クラウドの使用は慎重に判断する。クラウド環境を狙った事件を考慮するとセキュリティが複雑になるため。クラウドの利用は可変部分の要素だけにとどめ、固定部分は自社の管理下に置くほうがよい可能性がある
- 社内チームとパートナー、ベンダーの協力関係を作る。リスクと損害および軽減策を協力して特定する。また、明確な役割分担を定めた実行可能なインシデント対応計画を策定する
- 信頼関係は大切だが、定期的なチェックと継続的な監視を優先する。アクセス権は本当に必要とする人だけに制限し、最小特権ルールを導入する。常時監視は攻撃された場合に原因を追跡するのにも役立つ
- 高度な暗号によって貴重なデータを保護する
- セキュリティ対策の検証にペネトレーションテストおよびバグ報奨金プログラムを検討する。バグ報奨金プログラムは継続的なテストを期待できる。ペネトレーションテストはある時点でのセキュリティレベルを評価できる
- ベストプラクティスを確認する。米国国立標準技術研究所(NIST: National Institute of Standards and Technology)は2021年(米国時間)、サイバーサプライチェーンのリスクマネジメント(C-SCRM)のフレームワークの活用によってビジネスを安全に保つことのできるベストプラクティスに関する報告書を発表している
これからの時代、ベンダーのセキュリティ要求に応じたセキュリティ体制を構築できることは、パートナとして必要な条件になっていくとみられる。また、このようなセキュリティ体制を築けることはセールスポイントとなる。セキュリティ体制に不安のある企業は一度ベストプラクティスを確認することが望まれる。