ー サプライチェーン上のセキュリティリスク ー

• はじめに
• １．サプライチェーンのリスク要因
  • １．１．組織は供給者を直接管理できない
  • １．２．サプライチェーンの全体像を把握することは困難
• ２．サプライチェーン上のセキュリティリスクとは
  • ２．１．サプライチェーンを経由した攻撃
    • ・供給者が保有するターゲット組織の情報が窃取される
    • ・供給者になりすました巧妙なBECを仕掛けられる
    • ・供給者を経由してターゲット組織のネットワークに侵入される
    • ・サプライチェーンが分断され、ターゲット組織の事業継続に影響が及ぶ
  • ２．２．サプライチェーン攻撃
    • ・ソフトウェア開発元が攻撃され、ソフトウェアまたはアップデートに不正コードが仕込まれる
    • ・供給される製品に不正な部品が使用され、偽造品によるセキュリティ侵害、模造品によるレスポンス低下などが発生する
  • ２．３．サプライチェーン構造に起因するリスク
    • ・供給者とのセキュリティ管理策の実施責任が明確になっていないことにより、脆弱性が放置される
    • ・供給者（再委託先）の要員による不正が行われる
    • ・供給者（再委託先）の要員による過失が発生する
    • ・供給者とのコミュニケーション不足により必要な対策が実施されない
    • ・サプライチェーン上で組み込まれる構成情報の把握不足により脆弱性対応が遅れる
  • ２．４．具体的な管理策について
• まとめ
• 参考資料
• 脚注

はじめに

　前回の記事では、サプライチェーンセキュリティリスクマネジメントに関する考察の前編として、サプライチェーン上の情報の管理責任について考えました。今回は、後編としてサプライチェーン上のセキュリティリスクについて考えてみたいと思います。

blg8.hatenablog.com

１．サプライチェーンのリスク要因

　ここでは、サプライチェーンの構造に起因するリスクについて考えたいと思います。

１．１．組織は供給者を直接管理できない

　本稿では、図１のように供給者（supplier）が何らかの製品・サービスを供給（納品、または支援）し、その取得者（acquirer）が対価を支払う商流に関連する組織群をサプライチェーンと定義します。

　上図のように、取得者と供給者は供給と対価に関する合意に基づき関係性が築かれていることが一般的です。また、組織B、組織Cのように供給者と取得者の両方の役割を有することが多くあります。

　この関係性を、一つ目のサプライチェーン特有のリスク要因と考えることができます。

• 供給者などのサプライチェーン上に存在する利害関係者、及びそこで行われるプロセスを組織は直接管理することができない

　上記のような商流では、一般的に組織間で情報の共有や製品・サービスの取得が発生するため、その活動に伴う「組織から供給者に提供した情報の取り扱い不備」や「供給者から提供されるシステム・サービスに内在する脆弱性」などの組織に影響を及ぼすセキュリティリスクの範囲が拡がる一方で、子会社のように資本関係がある一部のケースを除き、通常は供給者に対し組織のガバナンスは及びにくく、リスクを直接管理できないというジレンマが生じます。
　このようなケースでは、リスクマネジメントの各プロセスで実施すべき活動（Activity）の実施責任を、組織と供給者の間で明らかにする必要があります。

　具体的には、リスク対応のために行われるセキュリティ管理策など、次の各項目を含むセキュリティに関連する各種活動の実施義務やその実施状況の確認方法について事前に当事者間で文書により合意します。

• リスク対応：組織がリスク対応のために必要と考える各セキュリティ管理策の実施義務
• リスクのモニタリング及びレビュー：各セキュリティ管理策の実施状況の確認
• リスクコミュニケーション：インシデントや変更のように、速やかな対応が求められる情報の共有

　上記の考え方に基づくリスクマネジメントの実施内容については、後日、次のようなテーマで考察しようと思います。

• 「供給者関係における情報セキュリティ」について
• 「供給者との合意における情報セキュリティの取扱い」について
• 「供給者のサービス提供の監視、レビュー及び変更管理」について

１．２．サプライチェーンの全体像を把握することは困難

　もう少し、サプライチェーンの構造について掘り下げて考えてみます。
　契約の形態によっては、供給者の判断で下請負業者などの再委託先を利用するケースが考えられます。その場合、プロジェクトの規模が大きくなるほど、利害関係者は多くなり、サプライチェーンの全容を把握することは益々困難になります。
　このようなケースでは、ある一つの完成品のサプライチェーンに限って考えても、図１のような数珠繋ぎの形態になることは稀で、図２のようにツリー状や網目状に近い複雑な形態になることの方が多いと思われます。

　この複雑な形態を、二つ目のサプライチェーン特有のリスク要因と考えることができます。

• 複雑なサプライチェーンの場合、全体像を把握することは難しい

　特にソフトウェアは、OSS（Open Source Software）をコンポーネントとして利用するなど複雑なサプライチェーンにより作成されていることが多く、そのサプライチェーンが複雑なほど、構成されているソフトウェアコンポーネントの透明性を確保することは難しくなります。
　例えば、SolarWindsに関連するインシデントやApache Log4jの脆弱性のような事象が発生した場合、リスクアセスメントにより対応内容を検討しますが、迅速にリスク特定するためには、日常的にソフトウェアコンポーネントの透明性が確保されている必要があり、近年では、SBOMによるソフトウェア構成の適切な管理が重要視されています。
　サプライチェーンに関連するリスクマネジメントの実施内容については、後日、以下のようなテーマで考察しようと思います。*1

• 「ICTサプライチェーンにおける情報セキュリティの管理」について
• 「クラウドサービスを利用するための情報セキュリティ」について

２．サプライチェーン上のセキュリティリスクとは

　ここからは、サプライチェーン上のセキュリティリスクについて具体的に考えてみます。
　国内でサプライチェーン上のリスクとして捉えられているものを、あえて分類すると次のように３つのケースに分けることができると思います。

• サプライチェーンを経由した攻撃
• サプライチェーン攻撃
• サプライチェーン構造に起因するリスク

　次項では、各ケースについて詳しく見ていきます。

２．１．サプライチェーンを経由した攻撃

　最終的なターゲット組織に影響を与えるために、商流のサプライチェーン上にある脆弱な関連会社、取引先、委託先などを踏み台として利用する攻撃です（海外では、Island hopping attack と呼ばれることが多いようです）。初期段階で、ターゲットが定められているため、標的型攻撃の一種に分類されると個人的に考えます。

　具体的には、次のようなケースが考えられます。実際に起きたインシデント例と合わせて紹介します。

・供給者が保有するターゲット組織の情報が窃取される

　自治体からヘルプデスク業務を受託している組織のPCがマルウェア感染し、住民からの問い合わせメールが流出した可能性がある。

・供給者になりすました巧妙なBECを仕掛けられる

　供給者のメールアカウントが乗っ取られ、ターゲット組織に対する架空の請求及び支払先口座情報が送信され、不正な支払をした。

・供給者を経由してターゲット組織のネットワークに侵入される

　海外拠点のサーバーに侵入され、そこを足掛かりにして国内外の複数拠点に侵入範囲が拡大し、多くの端末がマルウェアに感染した。

・サプライチェーンが分断され、ターゲット組織の事業継続に影響が及ぶ

　供給者でセキュリティ侵害によるシステム障害とそれに伴う生産停止が発生し、その結果、部品供給が滞り、取得者であるターゲット組織の一部で生産停止を余儀なくされた。

２．２．サプライチェーン攻撃

　製品、ソフトウェア、サービスを製造する過程のサプライチェーン上で不正コードなどの部品を組み込んでおくことで、その供給先である取得者を攻撃する手法です（海外では、Supply chain attackと呼ばれます）。より多くの組織に影響を及ぼすソフトウェアや製品に悪性部品を仕込み、偵察によりその供給先を特定しターゲットを定めるため、ばらまき型の一種に分類されると個人的には考えます。

　具体的には、次のようなケースが考えられます。実際に起きたインシデント例と合わせて紹介します。

・ソフトウェア開発元が攻撃され、ソフトウェアまたはアップデートに不正コードが仕込まれる

　約50社のMSP（Managed Service Provider）が使用しているVSA（Virtual System Administrator）に対するゼロデイ脆弱性を悪用したセキュリティ侵害が発生し、そこを足掛かりとしてマルウェアが仕込まれた偽のアップデートが顧客（約1500社）システムに配信され、多くの端末が感染した。

・供給される製品に不正な部品が使用され、偽造品によるセキュリティ侵害、模造品によるレスポンス低下などが発生する

　米国でネットワーク機器用の部品に、海外製の不正な偽装品、模造品が使用されていることが判明し、ネットワークへの不正侵入の可能性があるとして大規模な調査が行われた。

２．３．サプライチェーン構造に起因するリスク

　セキュリティ管理策の実施責任が曖昧であったり、供給者内の要員の不正、過失など、主にサプライチェーン上に組織のガバナンスが及ばないことに起因するリスクが考えられます。
　具体的には、次のようなケースが考えられます。実際に起きたインシデント例と合わせて紹介します。

・供給者とのセキュリティ管理策の実施責任が明確になっていないことにより、脆弱性が放置される

　VPN装置を設置した業者と保守運用の契約が結ばれておらず、脆弱性対応の管理が誰にも行われずに放置され、その脆弱性を悪用するセキュリティ侵害が発生した。

・供給者（再委託先）の要員による不正が行われる

　再委託先社員が、委託元の顧客情報を私物スマートフォンに保存し、名簿業者に売却した。

・供給者（再委託先）の要員による過失が発生する

　Webサイトの開発を委託していた先の要員が誤って公開設定のままソースコードをGitHubにアップロードし、それに気づかず放置していたため第三者によるアクセスが可能な状態だった。

・供給者とのコミュニケーション不足により必要な対策が実施されない

　クラウド型CRMシステムを利用している多くの組織で、設定不備に起因する顧客情報の流出の可能性があることが公表された。

・サプライチェーン上で組み込まれる構成情報の把握不足により脆弱性対応が遅れる

　オープンソースソフトウェア（OSS）で深刻な脆弱性が公表されたが、多くの組織でその影響範囲を特定する作業に追われた。

２．４．具体的な管理策について

　今回、明らかにしたセキュリティリスクに対応する具体的な管理策については、次回以降の投稿でなるべく具体的に考察していきたいと思います。

まとめ

　今回はサプライチェーン上のセキュリティリスクについて考えてみました。本文でも触れましたが、サプライチェーンの規模が大きくなるほど、組織のガバナンスが及ばなくなる可能性は高くなります。さらに、サプライチェーンが関連するリスクは多岐にわたり、実際に多くのセキュリティインシデントが発生していることも理解いただけたと思います。
　サプライチェーン全体にセキュリティリスクマネジメントを適用するためには、取得者がリスクコミュニケーションなどの手法を用い主体的に関わらなければならず、かつ、効果的な運用とするためには様々な工夫が必要となります。後日、公開予定の各管理策の考察では、その辺についてなるべく具体的に考えてみたいと思います。

参考資料

　本稿は、以下の文献を参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。

• IPA　情報セキュリティ10大脅威
• ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls
• NTIA Software Component Transparency
• NIST Defending Against Software Supply Chain Attacks

脚注