セキュリティの
学び場

今回の解説ニュース

サプライチェーン攻撃について、国内や海外での用語としての使われ方の違いについて発表されています。用語としては異なっても、社会全体が取り組むべき点では、国内も海外も同様であるサプライチェーン攻撃の内容と対策について説明します。

今回の発表では、サプライチェーン攻撃が国内や海外で用語として使われ方の違いや、特にSSL-VPN製品の脆弱性が放置される原因について触れられています。具体的には、サプライチェーン攻撃という用語は、国内では製品やサービス提供の連鎖への攻撃を示していますが、海外では情報のやり取りの連鎖への攻撃を示しているという違いがあるということです。

JPCERT/CCの佐々木氏は「たかが言葉の違いではないかと思われるかもしれませんが、言葉の違いが脅威想定を大きく誤らせる可能性があることを懸念しています」と指摘しています。また、主な侵入原因がSSL-VPN製品であることから、サイバー攻撃そのものへの対処としてまず取り組まなくてはならないのは、「なぜSSL-VPN製品の脆弱性が放置されたままだったのか」という点であるとしています。

なぜSSL-VPNの脆弱性が放置されるのか

SSL-VPNの脆弱性が放置される理由の一つとして、情報資産や脆弱性が管理されていないことが挙げられます。

例えば、Aさんがお住まいのマンションに備え付けのインターネット回線があったとします。設定などの手間が省ける一方で、設定はマンションの管理会社がしてくれるであろうと期待しているのではないでしょうか。もちろん、マンション内のネットワークに脆弱性があった場合の対応も含まれます。

一方で、マンションの管理会社は、インターネットの契約のみ行い、システムの導入や運用は外部の委託会社で行う場合が多いと考えられます。仮に、Aさんの部屋に置いてあるルータに脆弱性があった場合、誰かがその情報を把握して、その事実をAさんに伝え、Aさんから許可を取って脆弱性を修正する、ということを考えると、責任の所在や対応の主体が複雑化することがお分かりいただけるのではないでしょうか。

SSL-VPN製品の場合も同様で、日本の代理店が販売した海外メーカの製品をシステム会社が導入し、その後の運用と保守は別会社が行うことは一般的で、脆弱性の修正対応は明示的に契約内容に入っていないケースが多いということです。JPCERT/CCは、こうした商流上の関係により、脆弱性情報がユーザーに届かない、あるいは修正対応がサポートされていない現状があるとしています。

「サプライチェーン攻撃をされにくい環境づくり」を実現する為には

攻撃されにくい環境づくりを実現するためには、セキュリティを社会課題ととらえ、全員参加のセキュリティを目指すべきです。そのためには、セキュリティの格差を埋めていく作業が必要です。

今回の発表では「サプライチェーン上の企業が狙われることも、IT製品のサプライチェーン上で脆弱性が放置される問題も、経済活動によって市場の外で発生した不利益と言えますから、外部不経済であると考えられます。」と述べられています。これはセキュリティ業界の課題を的確にとらえており、簡単に言えば「もうからないことはやらない」という現代のビジネスが抱える限界と言うこともできます。

逆に、社会課題はもうかる範囲のみに存在しているかといえばそうではなく、セキュリティで言えばSSL-VPN製品の脆弱性が放置されることに代表される、サプライチェーンリスクがそれに該当します。これらの社会課題に向き合うべきセキュリティベンダーは、引き続き、もうかるだけの範囲でその活動が限定されていいのか、我々はそうは思いません。

優れたエンジニアのみがセキュリティベンダーで働けたり、お金がある企業のみがセキュリティ対策ができるという、セキュリティ業界の構造自体を変える必要があります。誰の手にもセキュリティが行き届く社会を実現するために、我々はこのVoicyを含めて具体的な活動をしているところです。

今回は、社会課題であるサプライチェーン攻撃にどう向き合うべきかについてお届けしました。