「サプライチェーン攻撃を自動可視化で未然に防ぐ」

「サプライチェーン攻撃を自動可視化で未然に防ぐ」 資料ダウンロードはこちら

今、世界中で「サプライチェーン攻撃」が多発している。社会のセキュリティ意識が高まったことで、大企業や公的機関といった “これまで主要な攻撃対象とされてきた組織” は、セキュアな仕組みを自組織に持ち始めている。しかし、取引先や子会社、工場も同じかというと、残念ながらそうではない。

この状況は、攻撃者の標的に変化を引き起こした。堅牢なセキュリティを敷く大企業ではなく、サプライチェーンに連なる脆弱な企業を標的に攻撃をしかける。そして、ネットワークを通じて、IT化やIoT化によりこれらの企業と相互接続関係にある本命たる大企業、公的機関への侵入を図る。これがサプライチェーン攻撃の正体であり、攻撃が増加している理由だ。これからのセキュリティは、自組織だけでなくサプライチェーン全体の対策状況までを把握し、各組織への指示を出していくことが求められる。

脅威を増すサプライチェーン攻撃への対抗策として、本稿ではイスラエルのPanorays Ltd.が開発したサプライチェーン評価システム「Panorays(パノレイズ)」を紹介したい。

子会社や取引先が狙われる?
サプライチェーン攻撃を自動可視化で未然に防ぐ!
> > 資料ダウンロードはこちら

サプライヤーのセキュリティ対策状況を “攻撃者目線” で評価

Panoraysは、サプライチェーンを構成する取引先、業務委託先、日本国内・海外のグループ会社といったサプライヤーのセキュリティ対策状況を評価し可視化する、リスク管理のプラットフォームとも呼ぶべきサービスだ。ユニークなのは、リスク評価のアルゴリズムである。

Panoraysでは、「アプリケーション」「ヒューマン」「ネットワークおよびIT」の3つの評価分類について、インターネット上の公開情報を基に、”攻撃者が組織に侵入するための調査活動” の視点からサプライヤーのセキュリティ対策状況を調査し、その結果をスコアリングする。

評価カテゴリー 検出項目
アプリケーション ・危険性のあるアプリケーション設定の検出
・ドメインの安全性の調査
・一般的なWebアプリケーションの脆弱性の検出
ヒューマン ・漏えいしたアカウントの調査
・なりすまし対策の調査
・セキュリティチームの評価
ネットワークおよびIT ・危険性のあるWebサーバ設定の検出
・危険性のあるメールサーバ設定の検出
・危険性のあるDNS設定の検出
・危険性のあるTLS設定の検出
・危険性のある公開しているサービスの検出
・調査対象のレピュテーション

調査は非侵入的に行われるため、サプライヤーのシステムに負荷をかけることなくサプライチェーン各社のサイバーセキュリティ対策状況を把握することができる。さらに、Panoraysはスコアリングや可視化とともに、スコアが低い項目において何を指示すべきか、対応策についても示唆してくれる。状況を把握してすぐに実行に移すことができるため、対策のスピードを加速することが可能だ。

攻撃者視点の評価内容例

攻撃者視点の評価内容例。

*  *  *

ダウンロード資料では、ある業界における国内3位の老舗企業の仮想事例から、サプライチェーン攻撃にどう立ち向かうべきか、そこでPanoraysをどのように活用すべきかをわかりやすく解説している。Panorays Ltd.は、現在までに全世界で約10万社のリスクを評価した実績がある。国内大手製造業や重要インフラ企業、金融機関など、数々の著名な企業での導入実績を持つ。

資料にあるのは仮想事例だが、その中身は今述べた実績に基づいたものだ。ぜひ参照のうえ、サプライチェーン攻撃への対策を講ずるための一助にして欲しい。

ダウンロード資料のご案内

子会社や取引先が狙われる?
サプライチェーン攻撃を自動可視化で未然に防ぐ!

>> 資料ダウンロードはこちら

[PR]提供:SOMPOリスクマネジメント