securite de la supply chain
製品とサービス 製品とサービス

サプライチェーンのセキュリティ: 今すぐ大きな成果を出すための 3 つの重要なポイント

サプライチェーンを狙うサイバー攻撃の報道が増えていますが、これは目新しいものではありません。国家を狙う攻撃者は、何年も前からサプライチェーンの脆弱性を狙い悪用してきました。
作成者
2021、 2月 24
Products & Services MSP MSSP サプライチェーン セキュリティニュース

サプライチェーンを狙うサイバー攻撃の報道が増えていますが、これは目新しいものではありません。国家を狙う攻撃者は、何年も前からサプライチェーンの脆弱性を狙い悪用してきました。

これらの脆弱性は、利益の大きい標的を狙うための容易な入り口となっています。マネージドサービスプロバイダ (MSP) とマネージドセキュリティサービスプロバイダ (MSSP) は多くの顧客組織の鍵を握っているため、特に標的となります。何百もの歯科医院が共通で利用していた MSP が侵害を受けて、ランサムウェアに襲われた事例がこちらです。

誰もが標的に

侵害を受けた組織は口を揃えて「我々が標的になるとは思わなかった」と言います。

しかし実際には誰もが標的になり得ます。サプライチェーンとの繋がりが不可避である以上、保護がなければ、それはすなわちリスクです。

軍の請負業者にサービスやツールを提供している企業ならば、自社がその業者のバックドアになる可能性を想定しやすいかもしれませんが、地方のネイルサロンがサプライチェーンのリスクになる、ということは想定できないかもしれません。しかし実際には想定すべきなのです。実際大企業への攻撃は、小さなサロンを侵害した上で請求情報システムを使用し、そのサロンを利用した企業の幹部に悪質な PDF を送信することから始まっています。

スタート地点

MSP と MSSP には、サプライチェーンのセキュリティを、社内と対顧客の両方で向上させる大きなチャンスがあります。

大変な作業に思えるかもしれませんが、以下の 3 つの重要なポイントに焦点を当てれば、多くの場合すぐに大きな成果を上げられます。

1. 認証

サービスプロバイダーはパスワードの使い回しをやめるべきです。常識のように思われるかもしれませんが、これは今も続いている問題です。

クレジットカード詐欺を調査する中で、決済端末プロバイダーが抱えるリスクとして、数千もの顧客アカウント管理に単一の共有パスワードを使用し、TeamViewer や VNC のようなリモートアクセスソフトウェアを使用している状況をこの目で見てきました。

今週初めに、フロリダ州の法執行当局は、ある攻撃者が TeamViewer を使用してパスワード保護されたコントロールパネルにアクセスし、重要なインフラの水道設備を侵害しようとしたことを発表しました。幸いこの攻撃は阻止されましたが、大惨事になっていた可能性もあります。

このようなセキュリティの欠如は許されません。サポートスタッフ 1 人のフィッシングという単一のインシデントだけで、企業の評判が地に落ちたり、業務そのものが壊滅したりするケースもあります。

従来の IT 部門と同様、特権を持つアカウントの使用は必要な場合に限定してください。また、常に多要素認証を有効にしてください。すべての使用状況をログに記録し、頻繁に異常がないか確認してください。

2. アクセス権

すべてのクライアントへのアクセス権を技術者全員に許可すべきかどうかもう一度確認してください。場合によりますが、基本的にその必要はありません。

多くの場合、特定のクライアント集団、特に重要な顧客には、専任のサポート担当者やチームがいます。ネットワークをセグメント化し、監査ポイントを設けてリスクを抑制することと同様、特権にも境界線を引くべきです。

時間外の使用や、別のチームに割り当てられたアカウントへのアクセスなど、異常なアクセスを認識するためにはログの記録も重要です。

3. 侵害のモニタリング

予防とは対照的に、モニタリングのリソースが不足していることがあります。予防は失敗することもある、と知っているにもかかわらず、いざ予防的な対策に失敗した場合に、検出や状況の監視が遅れがちであるという問題です。攻撃が判明してからでは手遅れであるケースもあります。犯罪者がランサムウェアを放つ時にはすでに重要なデータが盗まれ、30 日以上にわたってネットワークにアクセスされていることも稀ではありません。

Sophos Managed Threat Response のチームは、実施した調査で、セキュリティ侵害初期の指標として次の 2 点を重視しています。1 つは、リモートアクセスと管理を目的とした時間外の認証情報の使用です。もう 1 つは、システム管理ツールを悪用して調査を行ったり、ネットワークからデータを盗んだりする行為です。

正規のアカウントやすでにあるツールを利用することは「環境寄生型 (LotL)」とも呼ばれます。このような攻撃を検知するには、適切な警戒態勢と技術が要求されます。訓練を受けたセキュリティオペレーションセンターのアナリストは、このような攻撃を明確に判別できるため、大きな被害が発生する前に報告し、攻撃を阻止できます。そのためには、自社の従業員に投資して訓練するか、外部の専門家に委託する必要があります。

サプライチェーンセキュリティを優先する

上記 3 つの重要なポイントを改善することで、サイバーセキュリティのリスクは大幅に低減し、MSP と MSSP は顧客保護において競合他社よりも優位に立てるはずです。

サービスプロバイダーがサプライチェーンのセキュリティ対策を優先することは、新規顧客の獲得、そして最重要とも言える既存顧客の維持において、競争上大きな優位性となり得ます。

しかしこれらは、典型的な失敗例を挙げただけのスタート地点です。セキュリティは長い道のりであり、サプライチェーンの安全性を確保することは、巨大なパズルの一部に過ぎません。

著者について

Chester Wisniewski is Director, Global Field CTO at next-generation security leader Sophos. With more than 25 years of security experience, his interest in security and privacy first peaked while learning to hack from bulletin board text files in the 1980s, and has since been a lifelong pursuit. 

Chester works with Sophos X-Ops researchers around the world to understand the latest trends, research and criminal behaviors. This perspective helps advance the industry's understanding of evolving threats, attacker behaviors and effective security defenses. Having worked in product management and sales engineering roles earlier in his career, this knowledge enables him to help organizations design enterprise-scale defense strategies and consult on security planning with some of the largest global brands.

Based in Vancouver, Chester regularly speaks at industry events, including RSA Conference, Virus Bulletin, Security BSides (Vancouver, London, Wales, Perth, Austin, Detroit, Los Angeles, Boston, and Calgary) and others. He’s widely recognized as one of the industry’s top security researchers and is regularly consulted by press, appearing on BBC News, ABC, NBC, Bloomberg, Washington Post, CBC, NPR, and more.

When not busy fighting cybercrime, Chester spends his free time cooking, cycling, and mentoring new entrants to the security field through his volunteer work with InfoSec BC. Chester is available on Mastodon (securitycafe.ca/@chetwisniewski).

For press inquiries, email chesterw [AT] sophos [.] com.

関連記事を読む