さまざまな関連企業が形成するサプライチェーンの中で、企業ごとにセキュリティレベルは異なる。攻撃者はこのギャップを狙っている。脅威に対抗するために、攻撃全体にまたがる「ストーリー」をどのように可視化すればよいのか。
企業活動はさまざまなパートナーや取引先、子会社との連携で構成されるサプライチェーンの中で成り立っている。だがサプライチェーンを形成する企業のセキュリティレベルはばらばらで、特に中堅・中小企業は人手や予算不足が足かせとなり、なかなか対策が行き届かないのが実情だ。
攻撃者はそんな状況を見越して攻撃を仕掛ける。比較的守りの堅い大企業を直接狙うのではなく、その取引先や子会社、孫会社、海外の関係会社をまず攻撃し、そこを足掛かりに「本丸」を狙う。その典型例が、2019年秋に国内で猛威を振るい始めたマルウェア「Emotet」だ。
サプライチェーンを利用した攻撃への対策は待ったなしの状況だ。特に近年はテレワークのニーズが高まり、関係各社の接続環境はますます多様になっている。しかし全ての企業がセキュリティに大規模な費用を投じるのは現実的ではない。体制、予算、運用状況などが異なるさまざまな企業がビジネスに関わることを前提とした横断的なセキュリティ対策は、どうすれば実現できるだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:サイバーリーズン・ジャパン株式会社
アイティメディア営業企画/制作:TechTargetジャパン編集部