サイバー攻撃「サプライチェーンリスク」に備えよ

2019/6/11 11:51
保存
共有
印刷
その他

日経クロステック

「新たな脅威であるサプライチェーン(供給網)リスクが迫っている。企業は必要な対策が取れているだろうか」。日本シーサート協議会副運営委員長の萩原健太氏は10日、都内で開催された「情報セキュリティマネジメントSummit 2019 Summer」(日経コンピュータ主催)の基調講演で来場者にこう問いかけた。

日本シーサート協議会副運営委員長の萩原健太氏

日本シーサート協議会副運営委員長の萩原健太氏

サプライチェーンとは、製品やサービスが原料の段階から消費者の手に届くまでの一連の流れを示す。サプライチェーンリスクとは例えば、委託先からの納品物へのマルウエア(悪意あるプログラム)混入や、自社からの取引先の情報流出、委託元のサーバーへのメール攻撃など多岐にわたる。

サプライチェーンにおけるセキュリティー対策は参加するプレーヤーが多く、リスクが潜む階層も複雑になるため、抜本的な対策が難しい。萩原氏は企業ができることの1つとして「xSIRT(セキュリティー・インシデント・レスポンス・チーム)」の設置を挙げた。xにはコンピューターの「C」や製品・サービス(プロダクト)の「P」、工場(ファクトリー/マニュファクチャー)の「F/M」が入り、対応する部門に応じてCSIRT(シーサート)やPSIRT(ピーサート)と呼ばれる。

萩原氏は「本来は部門横串が望ましいが、まずは部門別でもよいので専門チームを作ってセキュリティー対策の基点となる場所を確保することが重要」と話した。世界中のCSIRTなどで構成される組織「FIRST(フォーラム・オブ・インシデント・レスポンス・アンド・セキュリティー・チーム)」が提供する「PSIRT Service Framework」などのフレームワークを活用する方法を挙げた。

「とはいえxSIRTはあくまで組織のセキュリティー向上のきっかけだ」(萩原氏)。同氏は「チームを作ること自体が目的になっている場合も少なくない」と指摘する。サプライチェーンに潜むリスクに対処するためには組織全体を理解する必要があり、「セキュリティーチームを中心に部門横串で、BCM(事業継続マネジメント)の一環として考えていく必要がある」と話し、講演を締めくくった。

(日経 xTECH/日経コンピュータ 増田圭祐)

[日経 xTECH 2019年6月10日掲載]

保存
共有
印刷
その他

電子版トップ



[PR]