サプライチェーンのサイバーリスク管理について

2022.08.26

サプライチェーンのサイバーリスク管理について

アスピレイション株式会社セキュリティチームです。

前回のブログにて、サードパーティ企業のサイバーセキュリティリスクの重要性についてお伝えいたしました。

一方、セキュリティソフトウェア会社のタニウムが8月24日に発表したリリースによると、7割を超える企業でサプライチェーンに関するリスクへの対策がなされていない現状が明らかになりました。

（参考リリース）

・タニウム、「サプライチェーンリスクに関する市場調査」結果を発表

https://prtimes.jp/main/html/rd/p/000000012.000089232.html

同社によると、今回の調査対象となった組織のうち、9割弱の企業がサプライチェーンリスク対策の必要性を認知している一方、7割以上の回答者がサプライチェーンに対して具体的な対策まで行えておらず、実質リスクが放置されているということがわかっています。

サプライチェーンのセキュリティ管理については、大規模な企業になるほどその管理対象企業数も増え、それぞれ個別の企業ごとの窓口担当者とのコンタクトや、推奨対策の通知や進捗状況の管理など作業が膨大になることから、徹底した取り組みには非常に多大な工数と時間が必要となります。

また、実際にそれぞれの企業にセキュリティ診断やペネトレーションテスト等を実施するとなると、対象企業のIT担当からの協力を仰いだり、オペレーションに影響を与えないために様々な調整が必要になったりと、こちらもまた様々なハードルが存在します。

このような課題を解決するために、近年注目されているのが、インターネット上の公開情報を活用したOSINT手法による外部からのリスク診断です。

対象となる企業のシステムのセキュリティレベルを外部から観察し、サイバー攻撃のきっかけとなる脆弱性がないかどうかを判断する方法で、いわゆる「アタックサーフェス・マネジメント」とも言われる、ハッカー視点でのサイバーリスク管理の手法となります。

アスピレイションでは、最新のAI技術を用いたOSINT（Open-Source Intelligence）手法により、サプライチェーンのセキュリティリスクを外部から評価することが可能なイスラエル発のOSINTリスク評価システムを提供しています。

サプライヤーやグループ会社などの関連企業について、組織内部のシステムに影響を与えることなく、リアルタイムにセキュリティリスクの評価、モニタリングを行うことが可能となり、セキュリティ先進国のイスラエルにおいても、国家サイバー総局（INCD）が国内重要組織のセキュリティリスクを監視する際に利用するなど、信頼されたシステムとなっております。

対象としては、オンラインに接続されたサーバーなど会社システムの脆弱性、なりすましなどに利用される可能性のある送信メールサーバーの設定、ウェブサイトのSSL証明書の有効性、Eメールアドレスや機密書類の外部漏えい、外部との不審な通信など多くの項目に関するセキュリティリスクを評価することが可能です。

また、相手先企業に対する監査の質問票の作成や送付、回答の自動集計など企業監査に関する様々な機能も備えているので、外部評価と合わせた総合的なリスク管理を行うことができる、サプライチェーンリスクのマネジメントに最適なシステムとなっております。

ご興味をお持ちのお客様へはシステムのデモやサンプルレポートのご提供等のご相談も承っておりますので、ご遠慮無くお申し付けください。

お問い合わせはこちらまで。