ほとんどの企業は、さまざまな外部のベンダーやパートナーに依存して事業活動を行っています。これらの相互依存関係は、サプライチェーンと呼ばれる複雑なサードパーティのエコシステムを形成しています。
サプライチェーンはその複雑さゆえに、サイバー犯罪者にとって魅力的なターゲットとなっています。この記事では、サプライチェーンがどのように進化してきたのか、現在のサプライチェーンがもたらすリスク、そしてそれを軽減するために企業ができることについてご紹介します。
サプライチェーンとは?
「サプライチェーン」とは、歴史的にはある企業が別の企業に商品やサービスを提供し、その企業がまた別の企業に付加価値のある商品やサービスを提供し、最終的に顧客が製品を購入するまでの一連の流れを意味していました。現在では、企業のサプライチェーンは直線的ではなく、相互につながっています。これは典型的なサードパーティの意を超えて、関係する全ての者に及んでいることを意味します。ベンダー、サービスプロバイダー、その他の企業パートナーとの間のあらゆるビジネス関係は、企業の信頼できるサプライチェーンの一部とみなされます。
サプライチェーンのリスクと事例
ところが残念ながら、サプライヤーの脆弱性が原因の侵害事件が増えています。 2019年1月、アメリカのManaged Health Services of Indiana社は、運輸業者に対するフィッシング攻撃により、31,000人分の患者の個人データが盗まれたことを発表しました。 さらに最近では、世界最大級のテクノロジーサービスサプライヤーであるインドのWipro社が、顧客への攻撃を目的に侵入されました。この場合も、Wiproの従業員を狙ったフィッシング詐欺が入口となり、その従業員のアカウントがギフトカード詐欺の一環として、小売店の顧客に向けての武器として使われました。
セキュリティ業界では、一般的な電子メール攻撃キャンペーンの阻止に関しては大きく前進していますが、より指向性の高いなりすましやビジネスメール詐欺(BEC)の攻撃は検知が難しく、その危険性も増しています。 また、信頼できるビジネスパートナーになりすましたメールは、ターゲットを騙して不正な行動を取らせる可能性が高いことを考えると、サプライチェーンを悪用する行為に、より注意すべきです。
更に複雑なのは、ほとんどの企業が、自社のベンダーやパートナーが誰であるかさえ把握していないということです。間接的なプロバイダーはともかく、自社直接のサードパーティーのサプライチェーンを把握していると回答した企業はわずか35%に過ぎませんでした。また、大手サプライヤーだけではなく、中小企業についても深く考えることが重要です。 多層のサプライチェーンの深部には、サイバー犯罪者の格好の標的となる中小企業が存在しています。
ベンダーやパートナーに侵入され、それが武器となって自社に不利な状況に置かれた場合、壊滅的な損失を被る可能性があります。残念なことに、このような不正使用のパターンは非常に一般的になってきていて、今やほとんどの最高情報セキュリティ責任者 (CISO) の懸念事項のトップになっています。
サプライチェーンのリスクマネジメント
FBIによると、2016年6月から2019年7月の間に企業に260億ドルの損害を与えたとされるビジネスメール詐欺 (BEC) やメールアカウント侵害 (EAC) から企業を効果的に守るためにメールコミュニケーションを保護することは、サプライチェーンのリスクを軽減するための重要な第一歩です。このE-Bookで、その方法を詳しくご紹介します。