セキュリティの
学び場

今回の解説ニュース

サプライチェーンリスクに関する国内の動向について発表されています。今回はサプライチェーンリスクの事例や、その対策について説明します。

今年3月に自動車部品メーカーが被害を受けたニュースなどは、各種メディアでも取り上げられた、かなり大きなインシデントでしたので、ご覧の皆さんも記憶に新しいかもしれません。もはやセキュリティの社会課題ともいえる、そんなサプライチェーンリスクに関する内容です。

同レポートによると、2022年上半期はサプライチェーンリスクが国内で具体化、最も大きな国内事例として、2022年3月に公表された製造業・自動車部品メーカーにおけるランサムウェア被害を取り上げて、解説しています。

国内事例からみる「サプライチェーンリスク」の主な原因

国内のインシデント調査では外部から直接侵入された事例が目立っていて、その原因として、VPNやRDPなどの外部からアクセスを受ける接点のセキュリティ対策や脆弱性対応が不十分なことによる侵入が挙げられています。

その他にも、外部に持ち出したPCがUSB接続のモバイルWi-FiやSIMなど、グローバルIPが付与された状態でインターネット接続したことによる侵入、仮想プライベートクラウドに移行した内部向けサーバが設定ミスにより外部からアクセス可能なことによる侵入が挙げられています。

VPNとは、Virtual Private Networkの略で、仮想専用線と訳されます。Aさんがテレワークをする際に、オフィスで働いているのと同じようにしたいけど、オフィスのネットワークをAさんの自宅からつながるように、インターネットへ全公開してしまうのは、さすがにセキュリティ上の問題があります。ですので、Aさんのパソコンとオフィスのネットワークを仮想の専用線でつないで、Aさんだけがオフィスのネットワークへつなぐことができるようにした上で、家でもオフィスにいるのと同じようにネットワークが使えるようにする技術がVPNです。

RDPとは、Remote Desktop Protocolの略で、遠隔にあるパソコンを操作するために使われる通信手段の一つです。Aさんがテレワークをする際に、いつも使っていたパソコンを持ち出すことも考えられますが、大切な情報が入ったパソコンをオフィスから持ち出すのは、なくしてしまわないかとか、つないだネットワークでマルウェアに感染しないかなど、心配はいろいろです。とはいえ、自宅とオフィスで別々のパソコンを使い分けていては、仕事がはかどらないかと思います。RDPは、いつもオフィスで使っているパソコンの画面を手元のパソコンに転送する技術です。

VPNとRDPを併用して、テレワークの環境へオフィスにあるパソコンの画面を安全に転送することがよく行われています。

外部からの直接侵入を防ぎ、安全なテレワークを行うには

安全なテレワークの環境を確保するためには、設定ミスを含む脆弱性に対応することが必要です。VPNとRDPについては先ほどお話ししましたが、テレワークではクラウドサービスも使われることが多いです。

クラウドサービスの場合、特にメールやストレージなどのSaaSでは、ソフトウェアの脆弱性はクラウド事業者が対応してくれますが、誰がデータにアクセスできるかなどの設定周りはユーザが対応する必要があります。よって、クラウドの設定ミスに気を付ける必要があるということになります。

一方で、サプライチェーンリスクに目を向けてみると、全員参加のセキュリティ対策が唯一無二の答えとなります。

これは冒頭でもお話しした、サプライチェーンリスクを社会課題としてとらえる必要があると思っており、我々一企業としても何ができるか、常に考えて、行動しています。お金がなくてもセキュリティ対策ができる世の中を、無償で使えるセキュリティサービスS4で実現しようとしていることも、その活動の一つですね。