サプライチェーンの弱点狙う攻撃で情報漏洩急増 自社のセキュリティが担保されていても被害

データサプライチェーンリスクに関連する2024年の事例としては、情報処理サービス、コンピュータ用紙の製造・販売を展開する企業、イセトーのランサムウェア攻撃の被害がある。

この事例では、イセトーが業務を請け負っていた50以上の委託元組織に情報漏洩の被害が拡大した。委託した情報が漏洩する事例自体は以前から発生しているが、被害の大規模化により再び大きな課題として注視され始めている。

委託先が攻撃され漏洩したと公表されている情報の件数をトレンドマイクロで集計したところ、2023年1年間で約60万件の被害から、2024年は11月時点で500万件に急増していた。

委託契約時にあるべき情報管理の体制を決める

業務の効率化やDXが推進される中、業務上の必要性から他組織とのネットワーク接続や重要データを共有する機会は増えていくだろう。

信用する他組織からの攻撃侵入や情報漏洩の被害を受けないためには、サプライチェーン全体を意識するとともに、自組織が共有したデータの流れ、つまりデータサプライチェーンを考慮したセキュリティの考えが必要になる。

具体的にはサプライチェーン全体の中で自組織が弱点とならないよう、平時から攻撃や侵入のリスクを可視化し軽減する取り組みとともに、有事の発生に早期に気づき迅速に調査や対応を行える取り組みの両軸が重要だ。

技術的対策としては、自組織の弱点を把握し最小化するためのASM（アタックサーフェスマネジメント）と、万が一インシデントが発生した際に迅速に原因追及や対応を行うXDR（Extended Detection and Response）となる。またデータサプライチェーンのリスクに対しては、個人情報保護法でも情報の委託先に対し必要かつ適切な監督を行うことが委託元に求められている。

これは言い換えれば、業務や情報を委託した相手組織に対し、自組織と同等の管理とセキュリティを要求するということだ。これを実現していくためには委託契約時に、あるべき情報管理の体制を決めるとともに、それらが順守されているのかの定期的な監査、監査結果に伴う是正や違反時のペナルティなども決めていく必要がある。

これらのことが達成されない状況で委託したデータは漏洩の可能性が高いととらえる必要があると言えるだろう。

岡本 勝之：トレンドマイクロ セキュリティエバンジェリスト