CISOやCIOにとって、見知らぬ他社の対応に頼ることは、理想的な戦略ではありません。それでも、サプライチェーン全体に渡るサイバーセキュリティの脅威に対処する際、ほとんどの組織がこのような状態にあるのも事実です。これらのサプライチェーンには、流通の世界的な混乱など、多くのさまざまな課題がありますが、最近の調査によると、長期的にあるのはサイバーセキュリティの問題です。
企業が10年前よりも今日のほうがよりパートナーに依存している、というわけではありません。企業がパートナーに頼るのではなく、独自の供給品を製造することを選択するまれな例を除き、ニーズは変わっておらず、今後も変わる可能性はあまりないでしょう。たとえば、コストコが独自の巨大な養鶏場を建設するような例を除いて、サービスの提供や製造プロセスにおける供給元などのパートナーとの連携無しにはビジネスは成り立たないのが実状です。
サプライチェーンで変化しているのは、これらのパートナーにどの程度のシステムアクセスが許可されているかです。彼らはこれまでは得られなかったようなアクセス権限を得ており、よりクリティカルな情報にもアクセスが可能な場合もあります。そのようなアクセスを可能にする技術が進歩するにつれて、企業はそれを受け入れてきました。
サプライヤー、ディストリビューター、請負業者、アウトソーシング販売、クラウドプラットフォーム、地理的スペシャリスト、場合によっては最大の顧客など、幅広いパートナーを考えると、サイバーセキュリティの複雑さは桁違いに大きくなっています。さらに、企業が受け入れる統合が多ければ多いほど、リスクのレベルは高くなります。より正確に言えば、リスクは、サイバーセキュリティ環境が企業自身の環境よりも安全性が低いパートナーの数とともに増大し、それは必ずしもパートナーの数に比例するわけではありません。
パートナーとグローバルサプライチェーンを管理するためのサイバーセキュリティ戦略の作成を開始するには、大規模企業・組織のCISOは、パートナーのセキュリティレベルが実際に何であるかを率直に理解する必要があります。それらのパートナーの多くが、彼らがどれほど安全であるか、または安全でないかについて良く自社について把握していない可能性があることを考えると、とても複雑です。
1つの提案は契約を改訂し、すべてのパートナーが自社と同等のセキュリティレベルを維持することを要件にすることです。契約では、コンプライアンス違反に対するペナルティを指定するだけでなく、ーパートナーがそのチャンスを利用する意味がないほど十分にコストがかかる必要がありますが、ーまた、そのセキュリティレベルを決定および再検証する手段を指定する必要があります。膨大な調整と大規模なログファイルの共有が始まることになるでしょう。
そうしないと、ゼロトラストなどの最も厳しいセキュリティ環境でさえ、パートナーのセキュリティ対策が不十分なため、サプライチェーンの穴を塞ぐことができない可能性があります。大企業の小売業者が大手消費財メーカーとパートナーとして協力しているとしましょう。優れた環境は、厳密な認証から始まり、パートナーのユーザーが実際にその許可されたユーザーであることを確認します。エンタープライズ環境では、セッション全体を通じてユーザーを監視し、ユーザーが疑わしいことを何もしていないことを確認する必要があります。しかし、パートナーが侵害された場合、マルウェアが安全なトンネルを介して侵入する可能性があり、捕捉されない場合は問題が発生し、侵害される可能性があります。
これは仮説ではありません。パンデミックが始まって以来、私たちの調査によると、グローバル企業の大多数(81%)が、COVID-19の開始以来はるかに多くの攻撃を受けていると述べています。
ほとんどすべてのビジネスはサプライチェーンに依存しており、混乱を引き起こし、より広いネットワークを侵害しようとしているサイバー犯罪者の主要な標的となっています。ホリデーシーズンが近づくにつれ、サプライチェーン全体で消費者とビジネスの活動は急増しており、不可欠で収益性の高いサービスを標的にしようとしているサイバー犯罪者の格好のターゲットになっているのです。
攻撃者は、信頼できる接続、システム、またはユーザーを介してネットワークにアクセスし、最初の侵入経路としてグローバルサプライチェーンを今後も活用するでしょう。これらの攻撃が”信頼できるチャネル”を悪用するという事実は、それらを防止または検出することを非常に困難にします。組織がこれまで以上にクラウドサービス、マネージドサービス、エンドポイントの近代化などのデジタルトランスフォーメーションを継続するにつれて、サプライチェーンの脅威のリスクは、経路としての普及に伴いますます増大します。
※本ページの内容は2021年11月30日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文: Fighting Supply Chain Threats Is Complicated
著者: Adam Philpott