国際情勢の急速な悪化に乗じて、企業のサプライチェーンを狙ったサイバー攻撃が激しさを増している。さらに攻撃の手口は多様化、巧妙化し、「もぐらたたき」のような対症療法ではつぶし切れなくなっている。いかなる攻撃を受けても、被害を最小限に食い止め、早期に事業を復旧できる体制を構築するために、経営者には「四つの視点=Security Quadrant」が求められている。
社会情勢の混乱に乗じるサイバー攻撃が増加
ロシアによるウクライナ侵攻は、エネルギー価格の急騰、国際物流の停滞、株価や為替相場の混乱など、経済や社会に大きな影響を及ぼしている。このように、企業経営のリスクはさまざまな側面で増大しているが、そこに付け入る形で、このところサプライチェーンを狙ったサイバー攻撃がにわかに活発化している。
「社会情勢の不安定化によって企業が抱えるリスクといえば、かつてはサプライチェーンの調達寸断や調達コストの上昇などが主でしたが、最近では情報セキュリティリスクが重大化しています。混乱に便乗し、システムの脆弱性に付け入る格好で執拗な攻撃を仕掛けてくるケースが増えるからです」。こう語るのは、アビームコンサルティングで企業の情報セキュリティ対策を支援するシニアマネージャーの山中樹八氏である。
有事のサイバー攻撃というと、政府機関や軍事施設などをターゲットとするものを思い浮かべがちだが、狙われるのは国ばかりではない。特に狙われやすいのは、サプライチェーンの中でも情報セキュリティ体制が脆弱な関係会社や取引先などである。
「欧州での調査によると、サイバー攻撃の半数以上は規模が比較的小さく、防御体制が脆弱な関係会社や取引先を狙っており、そこから真のターゲットである本社のシステムに侵入して攻撃を仕掛けています。また、関係会社や取引先の多くは、攻撃を受けていることを察知できなかったことも調査で明らかになっています。自社だけでなく、関係会社や取引先を含むサプライチェーン全体の情報セキュリティ体制を把握し、対策が不十分な場合は別のサプライヤーに切り替えるといった対応が必要になっています」と山中氏はアドバイスする。
アビームコンサルティング
戦略ビジネスユニット
シニアマネージャー
国内大手通信キャリアを経て2017年にアビームコンサルティング入社。セキュリティの視点で、企業リソース(人、組織、IT、規範)全般を対象とした課題の発掘、分析を行い、戦略企画、対策の実行支援を提供している。また、セキュリティ監査を通じた、各種セキュリティソリューションの提供や教育、講演により、顧客企業のセキュリティレベルを底上げする営みにも貢献。日本サイバーセキュリティ・イノベーション委員会(JCIC)客員研究員。
もう一つ、山中氏が情報セキュリティ対策の重要ポイントとして挙げるのが、IDとアクセス権限の管理だ。「役職などに応じて安易にアクセス権限を付与している会社が多いようですが、たとえ役員であっても、必要としない情報にはアクセスできないようにしておくことが大切です。万が一、その役員のIDとパスワードが盗まれてしまったら、重要な機密情報が漏えいしてしまうからです」(山中氏)。
コロナ禍によって、リモートによる業務が日常化した今日では、社員が使用するパソコンやタブレット端末からID・パスワードが盗まれてしまうケースがますます増えている。
サプライチェーン全体における情報セキュリティ体制の見直しと、IDやアクセス制限の厳格な管理は、「情報セキュリティ対策の基本」だと山中氏は指摘する。