民間・政府機関におけるサプライチェーンのリスクと対策
サプライチェーンリスクとは
情報セキュリティリスクの顕在化
• 委託先からの情報流出・自社からの取引先情報流出
• 委託先からの納品物にマルウェアが混入
• 委託元・委託先へのサイバー攻撃メール
• 調達したソフトウェア・オープンソースソフトウェアの脆弱性による事故
• 調達機器の不正な機能による情報窃取
• システム運用委託先(クラウド、IoTシステム等)における停止事故・情報流出・乗っ取り
引用: ITシステム・サービスにおけるサプライチェーンリスクマネジメント
- IPAの調査によると、サプライチェーンの被害事例の原因としては、不正アクセスが最多、人的ミスと内部不正が次いで多い
- 欧米ではサプライチェーンリスクに対応するための法律やガイドラインを作成しており、要件を満たせないと、グローバルのサプライチェーンに参加できなくなるリスクがある
サプライチェーンにおいて必要な対策
- 暗号化
- 環境分離
- 多要素認証
- アイデンティティ認証
- ログの統合監視
- SIEM(Security information and event management)と呼ばれるネットワークの監視・検知システムの導入