小規模企業も“踏み台”に
サプライチェーン攻撃の脅威
ニュースにはならない軽微な事故は数え切れないほど起きている。単に気づいていないだけで、侵入したマルウェアが窃取情報をひそかに外部へ送り続けているケースもある。
情報漏洩はやがて表面化する。取引先の重要情報が攻撃者の手に渡り、取引先が脅迫される場合もある。脅迫された取引先からの問い合わせで漏洩に気づくなど、経営者にとっては想像したくもない悪夢だ。
攻撃の対象は小規模の企業にも及ぶ。典型が、「サプライチェーン攻撃」「踏み台攻撃」と呼ばれるサイバー攻撃だ。攻撃者が大企業の持つ情報を狙う場合、直接侵入を試みても成功する確率は低い。大企業のセキュリティ対策は堅固だからだ。そこで、攻撃者は大企業の取引先に侵入し、そこを踏み台にしてターゲットの内部に侵入しようと試みる。
たとえば、ティア3、ティア4の中小企業を“入り口”に、何段階かの踏み台を経て、サプライチェーンの頂点に位置する大企業の情報にたどり着く。
実際、サプライチェーン攻撃の脅威は高まっている。情報処理推進機構(IPA)が発表している「情報セキュリティ10大脅威」の2025年度版(組織)では、「サプライチェーンや委託先を狙った攻撃」が第2位にランキングされた。
自社が踏み台にされた場合、被害者であると同時に、加害者の立場にも立たされる可能性がある。「セキュリティ対策を怠って取引先に損害を与えた企業」と認識されれば事業の将来は危うい。
セキュリティ対策の中身を充実するために、これから何をすべきか?数ある対策のうち、どの施策を実行に移していくか?経営者は、自社の組織特性や事業特性に応じて、どこに優先的に資源を配分するかを判断する必要がある。
『取引先から信頼される 日本発サイバーセキュリティ基準』では、日本企業に求められるセキュリティ対策を真正面から考えている。セキュリティ対策は決してITに閉じた課題ではなく、経営そのものなのだ。
