緊張が高まるサプライチェーンセキュリティリスクへの備えを 今CISOが果たすべき役割とは
セキュリティの弱い関連会社や取引先に攻撃を仕掛け、標的企業に侵入するサイバー攻撃などのリスクに対して、企業はどう取り組むべきか、またCISOが果たすべき役割とは何か、トレンドマイクロ株式会社 日本地域CISOの清水智に話を聞きました。
パンデミックによるサプライチェーンの混乱が、物価上昇など経済に影響を及ぼしています。
このサプライチェーンリスクの一つとしてあげられるのが「セキュリティ」です。海外の工場閉鎖による部品供給の停止が、企業経営に影響を及ぼすのと同様、セキュリティの弱い関連会社や取引先に攻撃を仕掛け、標的企業に侵入するサイバー攻撃などが、これにあたります。
昨今ではソフトウェアの脆弱性が攻撃に悪用される新たな問題も顕在化しています。このリスクに対して、企業はどう取り組むべきか、またCISOが果たすべき役割とは何か、
トレンドマイクロ株式会社 執行役員 日本地域CISOの清水智に話を聞きました。
このうち清水が最も重要と指摘するのが「安定供給」リスクです。
これは、自然災害や国の政情不安、あるいは素材・部材などの品薄によって自社製品の安定供給が行えなくなるリスクを指しています。
直近でも新型コロナウイルス感染症(以下、コロナ)の流行によってグローバルサプライチェーンが寸断されたり、半導体の世界規模の供給不足によってIT製品や家電製品の安定供給が困難になったりといった事象が起きています。
こうした物理の供給網に対して、ネットワークを介したつながり、オンライン上のサプライチェーンにはサイバー攻撃によるサービス停止などのリスクがあります。これが「セキュリティに内包されるリスク」です。ネットワークを介した取引先や関連会社とのやり取りが当然のものとなっている現在、各部門がそれぞれビジネス推進のためサプライチェーンを構築しています。
たとえば、DX推進部門であればクラウド事業者のインフラを利用し顧客管理のアプリケーションを構築しているかもしれませんし、営業部門であれば外部のクラウドアプリケーションを利用しアカウント管理やメール配信を行っているかもしれません。
またコールセンターなど顧客サービスを外部委託しているサポート部門では、専用のネットワークを構築し、顧客データの管理をしているかもしれません。
サプライチェーンのセキュリティでは、こうした各事業部門それぞれの状態を把握し、リスクを評価・管理する必要があります。このため、このセキュリティリスクについて、清水は、セキュリティの専門家が、その知見だけでコントロール可能なものではないといいます。
清水「サプライチェーンのセキュリティ対策は、あくまでも事業戦略に則ったうえで、ビジネスを安全に成功させることを支援できるものでなければなりません。例えば、サプライヤーA社よりもサプライヤーB社のほうのセキュリティレベルが高ければ、セキュリティ担当は間違いなくB社を選ぼうとするでしょう。ところが、事業的にはA社を選らんだほうがビジネスメリットが大きい場合があり、また、最終的には事業オーナーにサプライヤー選択の判断が委ねられます。
要するに、サプライチェーンの領域ではリスクオーナーは事業部門にあり、そのセキュリティ対策の主導権も、セキュリティ部門ではなく事業部門にあると考えなければならないということです。」
システムの継続稼働を阻むセキュリティリスクセキュリティ対策の主導権が事業部側にあるとはいえ、セキュリティ部門はサプライチェーンを守るための基本的な施策は講じなければなりません。
サプライチェーンのセキュリティリスクは、次の4つに類型化できるといいます。
①ターゲット企業のビジネス上のつながりを狙い、セキュリティの甘い取引先や関連会社を攻撃の踏み台にする「ウィーケストリンク」
②クラウドインフラやサービスを狙いサービス利用社に被害を与える「サービスインフラ」
③ターゲット企業が業務上重要なデータの扱い委託する業務委託先を狙う「情報の委託先」
④ソフトウェアの悪用
なかでも「ソフトウェア」は、今もっとも警戒すべきリスクの一つだといいます。これは、サプライチェーンを支えるシステムのソフトウェアがランサムウェアなどのサイバー攻撃によって使用不能に追い込まれるようなリスクを指しています。
清水は「とくにソフトウェアの脆弱性への警戒を強めるべきだ」と指摘します。
サプライチェーンにおけるセキュリティの優先課題は脆弱性清水「ソフトウェア由来のリスクとして、深刻化しているのが脆弱性を悪用したサイバー攻撃です。
サプライチェーンのセキュリティリスクと言うと、先に触れた業務委託先からの情報漏えいをイメージする方が多いのですが、利用しているソフトウェアの脆弱性を突く攻撃もサプライチェーンを機能停止に追い込みかねない深刻なリスクです。
脆弱性については、まだIT機器の管理の延長で捉えている企業も多いですが、品質や安定供給と同様のサプライチェーンのリスクとして、優先度を上げて対策することが大切です。」
脆弱性が悪用されたサプライチェーンへの攻撃として、米国を中心に政府機関や防衛関連企業を含む多くの組織に影響を与えたSolarWinds社のネットワーク監視ソフトやMicrosoft社のExchange Serverを狙った攻撃※などがあります。
このSolarWinds社のケースでは、事件後、事態を重く受け止めた米政府は、これを契機にセキュリティの強化策を打ち出しており、問題の深刻さを示しています。
※SolarWinds社製品を悪用、米政府などを狙う大規模サプライチェーン攻撃
※Microsoft Exchange Serverの侵害を抑止するための技術的対策
サプライチェーンのセキュリティ対策では、サプライチェーンの中心を成す企業がすべての業務委託先のセキュリティ対策の把握や管理も求められます。
清水「まずは業務の委託先の安全性を見定めるための質問・確認リストを用意しておくことです。サプライチェーンのセキュリティリスクとして、どのようなリスクが存在するかを尋ねるだけでも委託先のレベルが確認できるはずです。」
CISOに求められるのは
事業成功を支えるセキュリティ戦略サプライチェーンのセキュリティ対策は基本的な施策でも簡単なものではありません。さらに、自社のビジネス、サプライチェーンによって供給される製品/サービスが何かによって、どのデータをどう守るかから対策の優先度までが違ってきます。したがって、サプライチェーンによって支えられている事業の構造を熟知していなければ、セキュリティリスクを低減させる施策を考案し、遂行することが困難となります。
その構造の中で、企業の情報セキュリティ戦略を司るCISOはどのような役割を演じていくべきなのでしょうか──。この問いかけに対し、清水は「CISOが成すべきことの1つは、3ラインディフェンスの体制を築くことだと考えます」と切り出し、次のように説明を続けます。
清水「3ラインディフェンスの第1ラインは事業オーナーです。事業オーナーがセキュリティに対しても責任を持つことが大切です。2ライン目がオーナーの意思決定を補佐する役割を演じるセキュリティの専門家です。そして3ライン目が監査の役割を担う担当者となります。
このうち2ライン目を事業部付きのCISOが担うのも良策といえます。実際、複数の事業部の中にそれぞれCISOの役割を演じる人員が配置され、事業部のトップと一体となってサプライチェーンの安全性を担保されている企業もいます。」
そのうえでCISOに必要とされているのは、自社の事業を安全に成功へと導くために、「セキュリティ技術をどう活用すべきなのか・どの技術に投資するのが適切か」を判断できる能力であり、知見・ノウハウだと、清水はいいます。
清水「3ラインディフェンスを実現してくためには、自社のビジネスの資産とその価値、そしてリスクを理解する必要があります。そのうえでサイバー攻撃の手口や地政学リスクなど外部動向に注視し、自社にとっての関連性や影響度をその都度判断する洞察力が必要です。
たとえばサプライチェーンを取り巻く環境の変化にアンテナを張り巡らせて、自社のサプライチェーンのどの部分が危うくなっているのか、あるいは狙われ始めているのかを把握し、事業のオーナーと常に情報を共有することも大切でしょう。
CISOには、事業の成功のために、セキュリティ戦略をどう描くかが問われていると言えます。」
清水 智
トレンドマイクロ株式会社
日本地域CISO
2002年トレンドマイクロ入社、製品開発部門、セキュリティのコアテクノロジー部門での品質マネジメントや事業継続マネジメントの責任者を歴任。2012年より統合型リスクマネジメントの重要性を認識し社内に専門チームを発足。大規模スポーツイベントのセキュリティ、サイバーセキュリティ、リスクマネジメント、人材育成などのマネジメント領域における専門家。2020年10月よりトレンドマイクロ・日本本社のCISOを務める。
政府へのセキュリティ政策提言、INTERPOL向けサイバー犯罪捜査官育成などに携わる。一般社団法人サイバー犯罪捜査・調査ナレッジフォーラム代表理事、一般財団法人日本サイバー犯罪対策センター(JC3)理事、国際刑事警察機構グローバルサイバー犯罪専門家委員会委員なども務める。
更新日:2022年5月9日
Security GO新着記事
エバンジェリスト、ICU高校の生徒と語る ~AIの「悪用」と「活用」~
(2024年10月4日)
プロパガンダとは?意味や事例について解説
(2024年10月3日)
生成AIでランサムウェアを作成した容疑者の摘発事例を考察
(2024年10月2日)