サプライチェーンのモニタリングは“必須”に SLING社CEOに尋ねる、リスク管理のポイント

サイバー攻撃の75％がサプライチェーン起点となり、企業のセキュリティリスクが高まっている。セキュリティ企業SLINGのCEOに従来のアナログ管理を脱却し、テクノロジーと脅威インテリジェンスで自動化する最前線の防御策を聞いた。

[エンタープライズ編集部，ITmedia]

　近年、サプライチェーンやサードパーティー経由のリスクが高まっている。いくら自社システムの守りを固め、対応体制を整えたとしても、子会社・グループ会社や取引先、あるいはITシステムやサービスなどを自社に提供するパートナー側の対策が脆弱（ぜいじゃく）であれば、そこを踏み台にして侵入を受け、ランサムウェア感染や情報漏えいといった実害が生じてしまう。

　サイバーセキュリティ企業SLINGのCEO（最高経営責任者）で、同社グループ企業KELAの共同創業者であるウリ・コーヘン氏も、こうしたサプライチェーンリスクの高まりに危機感を抱いているという。

インシデントの75％を占める、深刻なサプライチェーンリスクの実態

　KELAの調査によれば、情報漏えいなどのインシデント自体が増加傾向にある上に、そうしたインシデントのうち、サプライチェーンやサードパーティーに起因する攻撃が占める割合も増加し、2025年度には全体の75％に達した。

ウリ・コーヘン氏（SLINGのCEO 兼 KELAの共同創業者）

　現に、業務用SaaSを提供しているプロバイダーのトークンが盗まれた結果、そのサービスを利用していた何百社もの企業が影響を受け、顧客情報の流出などにつながってしまったケースが報道されている。被害企業の中には銀行も含まれていた。これらの企業はサプライチェーン経由の攻撃によって被害者になっただけでなく、自社の顧客に対する加害者にもなってしまった。

　コーヘン氏はさらに「もし同じようにして信用情報システムが侵害されれば、それを利用している全ての銀行に影響が及ぶでしょう。同じ業種で利用されているソフトウェアやサードパーティーが攻撃されれば、業界全体に深刻な影響が及ぶ恐れがあります」と、サプライチェーンへの侵害が重要インフラ全体に被害をもたらす可能性も指摘した。

　このように、サプライチェーンリスクが高まっている要因は幾つかある。1つ目は、企業が合理化、効率化を進める中で、サプライチェーンやサードパーティーへの依存度が高まっていることだ。特にコロナ禍以降、テレワークが広がったことで、企業の規模を問わずサードパーティーへ依存する場面が増えている。

　2つ目の要因は「AI」の広がりだ。コーヘン氏は、AIは複数の側面でサプライチェーンセキュリティに影響を及ぼしているとした。

　一つは、AIの活用、普及に伴って、それ自体が攻撃表面や脆弱性になり得ることだ。「今や、サードパーティーやサプライチェーンが利用するあらゆるアプリケーションでAIが活用されつつあるにもかかわらず、そのAIに関する可視性が欠如しています」とコーヘン氏は述べ、もし非常に脆弱なAIモデルが利用されていれば、そこが突破口となって攻撃を受ける恐れがあるとした。

　また、AIが攻撃に悪用される可能性も増している。攻撃者はAIを利用してより巧妙で見抜きにくいフィッシング詐欺を展開するだけでなく、話題のAI「Claude Mythos」のように、人間にはとうてい不可能なペースで、ゼロデイも含めて脆弱性を特定する技術が登場しており、どのようにこのリスクに向き合うかが問われている。

　難問となっているAIセキュリティへの対応だが、コーヘン氏は、サプライチェーン全体で見るとその影響がいっそう増大すると指摘した。「これまでサプライチェーンを構成する各社の侵害リスクが10％だったと仮定すると、そのリスクはAIの登場によって15％、20％と上昇していきます。この結果、サプライチェーン全体で累積されるリスクはいっそう高まります」（同氏）

　さらに、地政学的な要因がこの傾向に拍車を掛けているとした。既に、国家を背景とする複数のグループによるAPT攻撃が飛び交っているのが実情だが、「標的を直接攻撃する代わりにその国が依存するサプライチェーンプロバイダーを攻撃することで、攻撃を否認しつつ、物理的なサプライチェーンの遮断や封鎖と同じようにサプライチェーン全体、さらにはターゲットとなる国に影響を及ぼすことができます」（コーヘン氏）

法規制やガイドラインによって必須となりつつあるサプライヤーのセキュリティ管理

　こうした背景を踏まえ、今、各国でサプライチェーンセキュリティに関連する法規制やガイドラインの整備が進んでいる。

　「例えば米国では、医療業界やそれを支える事業者が順守すべきセキュリティガイドライン、HIPAAの中で、サプライチェーン全体やサードパーティーのモニタリングが義務づけられました。また欧州では、DORAやNIS2といった規制によって、金融、そしてそれ以外の業界においてサプライチェーンやサードパーティーのリスク管理が義務化されています」（コーヘン氏）

　日本も例外ではない。金融など幾つかの領域でサプライチェーンセキュリティの考慮を求めるガイドラインが定められている他、経済産業省では企業のセキュリティ対策状況を共通の基準で評価し、3つ星、4つ星といった形で可視化する「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の準備を進めている。

　これに伴って、「大企業だけでなく中堅・中小企業においても、サプライチェーン全体のリスクをモニタリングすることが求められます」と、コーヘン氏は述べた。

　「あらゆる日本企業にとって、サプライチェーンのモニタリングはぜいたく品でも、特典でもなく、必須のものとなっています」（同氏）

　ただ、問題はどのようにしてそのモニタリングを実現するかだ。

　原材料や部品の調達先だけでなく、日々の業務を支えるITシステムやSaaS、そしてBPOの委託先なども含めると、企業のサプライチェーンの裾野は非常に大きく広がる。特に、自動車や重工業といった製造業の場合、数千、時には万単位の企業と取引が生じる。その一社一社について、どのように対策状況をモニタリングし、チェックしていけばいいのだろうか。

　これまで日本の多くの企業では、スプレッドシートで「セキュリティチェックシート」を作成し、「権限管理を適切な状態にしているか」「データは暗号化しているか」といった事柄を確認することで取引先のセキュリティをモニタリングすることが多かった。だがこれは非常にアナログな作業であり、チェックシートの提出を求められる取引先、回答をとりまとめる企業側、双方にとって負担が大きい。そして、回答が得られたとしても、いったいどの企業から、どの問題から手を付けるべきかの優先順位付けが困難だった。

　コーヘン氏はこの状況を解決する鍵は、テクノロジーを活用した自動化にあると述べる。「膨大なサプライチェーン全てを監視することは現実的に不可能です。テクノロジーを用いてプロセス全体を自動化することが不可欠と言えます」（同氏）

　同時に、ただでさえ多くの業務に追われている中で本当に重要な問題にフォーカスするためには、最新の脅威の動向、つまり脅威インテリジェンスを参照しながら判断を下すことで、より良い解決策につながるとした。

テクノロジーの力を借りて自動化し、脅威インテリジェンスを活用して優先順位付けを

　SLINGでもそのようなサービスとして、企業名と同名の「SLING」を提供している。サプライチェーンやサードパーティーのサイバーリスクを評価してスコアリングし、継続的にモニタリングするためのサービスだ。

　SLINGでは、サプライチェーンを構成する企業やソフトウェアベンダー、サードパーティーのリストを入力することで、対象企業に所属するドメイン名やサブドメイン、IPアドレスといった資産を洗い出し、それらにひも付いたシステムの公開状況や脆弱性といった情報をスキャンする。パッシブな方式で情報を収集するため、対象企業に何らかの影響を与えたり、侵入を試みたりすることはない。いわゆるアタックサーフェスマネジメント的な機能といえる。

SLINGのデモ画面（出典：SLINGのWebサイト）

　SLINGではさらに、サイバー脅威インテリジェンスを活用することで精度の高い情報を提供していくという。「攻撃者もAIを活用し始めていますが、独自のノウハウやデータまではAIで置き換えることはできません。つまり、どれだけデータベースが充実しているかが、それを基盤とする防御能力の強固さを左右します」とコーヘン氏は指摘した。

　具体的には、同社と親会社のKELAが10年以上にわたって蓄積してきた脅威や脆弱性情報のデータベースと、ダークウェブ上の情報を付き合わせ、「このポートが外部に開放されているから危ない」と機械的に判断するのではなく、「この脆弱性はまだ悪用が確認されていない」、あるいは「既にダークウェブでアカウント情報が流通しており、緊急度が高い」といった最新の情報を加味することで、まず何から対処すべきかを適切に判断し、攻撃者の動きを予測して立ち回れるよう支援すると同氏は説明した。

　例えば、昨今ではRansomeware as a Service（RaaS）が猛威を振るっているが、攻撃者の動向や使われる手段、攻撃の展開状況などが漠然としたままでは対処は難しい。SLINGでは、自社、そしてサプライチェーンの各社に存在する脆弱性や設定ミスといった「弱点」を把握するとともに、実際にそれらを狙う攻撃が横行しているのかどうか、どこかから漏洩したアカウント情報が売買されていないかといった事柄をウォッチする。攻撃が進行していると判断できる場合は速やかに対処することで、サプライチェーン全体への影響を予防し、深刻な被害に至る前に食い止めることができるという。

　SLINGではそうしたアプローチのため、インテリジェンスに基づいてプロセスを自動化する手段を、日本国内でもソフトクリエイトやSB C&S、ビヨンドブルーといったパートナーとともに提供している。数多くのサプライヤーや取引先がある大手企業はもちろん、さまざまなSaaSやサービスを活用している中堅・中小企業での活用も可能だという。

　コーヘン氏は、日本市場向けに、金融庁や経産省のガイドラインに準拠した形で、サプライヤー・パートナー各社が回答を入力するためのフォームを自動的に生成して集計できること、スコアリングに基づいて優先すべき項目を抽出し、修正方法も提示できること、そして一連の結果をPDFやWord形式のレポートとして出力できることなども特徴だとした。「ガイドラインを参照しながらスプレッドシートを用意し、やりとりする必要はありません」（同氏）

　「サプライチェーンを狙った攻撃はますます巧妙になり、サイバー攻撃全体に占める割合もますます高まっています」とコーヘン氏は指摘する。しかも時間が限られている中、この状況に対処するには、モニタリング、それもテクノロジーと脅威インテリジェンスを活用したモニタリングが重要な役割を果たすとした。

攻撃者の視点を持って適切な防御を

　同社のソリューションもそうだが、サプライチェーンリスクが高まり、対処すべき事柄が多岐にわたる中では、「攻撃者の視点で、サプライチェーンに関連する資産やデジタルフットプリントを特定し、誤検知を排除して正確に弱点を把握していくことが重要です」とコーヘン氏は述べ、攻撃者の目を持つことが不可欠だと呼び掛けた。

　「攻撃者は既にテクノロジーを活用しています。そしてAIを用いることで、未熟な攻撃者でさえ、攻撃を容易に実行できるようになっています。対抗するわれわれも、テクノロジーを生かして準備を整え、インテリジェンスや知識を生かし、適切に防御していかなければなりません。さもなければ、攻撃者とのギャップはますます広がってしまうことになるでしょう」（コーヘン氏）