- ありがとうございます!
- いいね!した記事一覧をみる
会員になると、いいね!でマイページに保存できます。
昨今、大手企業を介して、セキュリティ対策に穴の多いサプライヤーや委託先を狙う「サプライチェーン攻撃」が急増している。自社単独でも100%の守りが困難であるのに、より小規模な関連企業に同等の対策を求めるのは、現実離れしていると言えよう。そこで本稿では、サイバーディフェンス研究所で専務理事/上級分析官を務める名和 利男氏に、サプライチェーン攻撃を象徴する4つの事例を紹介してもらいながら、そこから得るべき教訓と、現実的な対策について語ってもらった。
まず知っておくべき「4つの脅威」と「2つの防御」
名和氏は最初に、サプライチェーン攻撃事例を読み解く上で前提となる「攻撃者のタイプと防衛の考え方」を紹介。まず攻撃者には、次の4つの「脅威アクター」が存在するという。
「民間企業や一般団体が国家アクターの攻撃を回避・抑止することは難しく、防止というよりは被害軽減策に重点が置かれます。それ以外の3つは、基本的なセキュリティ対策の徹底で十分に攻撃を防げます」(名和氏)
次は、防衛における考えだ。(1)パッシブ・ディフェンス:ファイアウォール、マルウェア対策など、システムを保護するための基盤、(2)アクティブ・ディフェンス:情報、知識・経験に基づいて将来の攻撃を防ぐための備え、が挙げられる。
この「4つの脅威と2つの守り方」を前提に、ここからは世界各国で発生したサプライチェーン攻撃の中でも象徴的な事例を紹介する。そこから得られる教訓と実践的対策について解説していく。
- (1)国家アクター:特定の使命と高い攻撃スキルを持ち、国家の支援を受けたグループ
- (2)サイバー犯罪グループ:主に金銭獲得を目的に行動し、攻撃スキルのばらつきが大きい
- (3)ハクティビスト:特定の価値観や主張を持ち、DDoS攻撃やウェブサイトの改ざんなど、一般のユーザーが視認しやすい攻撃を好む
- (4)個人のハッカー:その多くが自己承認欲求に基づいて行動する
「民間企業や一般団体が国家アクターの攻撃を回避・抑止することは難しく、防止というよりは被害軽減策に重点が置かれます。それ以外の3つは、基本的なセキュリティ対策の徹底で十分に攻撃を防げます」(名和氏)
次は、防衛における考えだ。(1)パッシブ・ディフェンス:ファイアウォール、マルウェア対策など、システムを保護するための基盤、(2)アクティブ・ディフェンス:情報、知識・経験に基づいて将来の攻撃を防ぐための備え、が挙げられる。
この「4つの脅威と2つの守り方」を前提に、ここからは世界各国で発生したサプライチェーン攻撃の中でも象徴的な事例を紹介する。そこから得られる教訓と実践的対策について解説していく。
この記事の続き >>
・日本も標的に…? サプライチェーン攻撃「4つの事例」
・既存の対策はもう限界? 事例から学ぶ「現実解」
・世界が打ち出す、超・現実的な「4つの対策」
・日本も標的に…? サプライチェーン攻撃「4つの事例」
・既存の対策はもう限界? 事例から学ぶ「現実解」
・世界が打ち出す、超・現実的な「4つの対策」
今すぐビジネス+IT会員にご登録ください。
すべて無料!今日から使える、仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
