サプライチェーン攻撃の現状
サプライチェーン攻撃とは
関連企業や取引先企業を踏み台にするサイバー攻撃
「サプライチェーン攻撃」とは、関連企業や取引先企業などを経由して攻撃をしかけるタイプのサイバー攻撃のことを指します。
「サプライチェーン」は製品やサービスの開発から最終消費者に届くまでの一連のつながりを鎖に例えた表現です。サプライチェーンには製造業者や流通業者などに加え、サーバーの維持管理など特定の業務の委託先など多数の企業などが含まれますが、そのうち比較的セキュリティが手薄な中小企業へまず侵入し、企業間のつながりを利用してターゲットとなる大企業などに侵入する手口の攻撃がサプライチェーン攻撃です。
サプライチェーン攻撃には、関連企業全体での対策が必須
サプライチェーン攻撃が増加する背景には、攻撃のターゲットとなるような大企業のサイバーセキュリティへの意識が高まり、それなりのコストをかけて対策していることがあります。一方、サプライチェーンを構成する中堅・中小企業の中にはセキュリティ対策にあまりコストをかけられない、そもそもセキュリティ対策部門がないなどの理由から、防御が手薄で狙いやすいところも存在します。また、近年のテレワークの普及により外部から社内ネットワークにアクセスする機会が増えたこと、M&Aの活発化によりネットワークやデータの統廃合や再編の機会が増えたことなどの影響で、悪用される可能性のあるエンドポイント(侵入口)が増加したことも一因です。
国も動き出した経済産業省が推進するサプライチェーンセキュリティ(SCS)対策評価制度
サプライチェーンセキュリティ対策評価制度の目的
「サプライチェーンセキュリティ対策評価制度」は、企業のセキュリティ対策の実施状況を評価し、その成熟度を可視化することを目的としています。この制度は、2024年4月に開催された産業サイバーセキュリティ研究会で提案され、2026年度末頃に制度開始が予定されており、具体的には、業種横断的に活用できる評価基準を設け、企業がサプライチェーン全体のセキュリティレベルを向上させるための指針となることを目指しています。
また、セキュリティ対策状況を可視化するだけでは無く、経済産業省の提案する「サプライチェーンセキュリティ対策評価制度」に準拠したセキュリティ対策の可視化を実施しておくことで、今後の対外的な企業間取引を円滑に進めることができます。
SCS評価制度ガイドライン適用支援サービスについて
SCS対策評価制度ガイドライン対応に向けた企業の悩み
拡大するサプライチェーン攻撃への対策として、各業界団体からも各種ガイドラインが提示され対応を進める中、こんかいは経済産業省から日本国内の企業全体を対象としたサプライチェーンセキュリティ対策評価制度が示されたことから、企業の悩みは益々増えている。
「何を・どうやって・誰が・どこまで実施すれば良いのか?」
これまで訪問した企業様にSCS対策評価制度への対応意識と現状をお聞きする中、右記の様な悩みをお持ちでした。
全体としては
2026年より本格運用される経産省の「セキュリティ対策評価制度」は、サプライチェーン全体のセキュリティ向上を目指す新たな枠組の為、企業は、取引先から求められる高度なセキュリティ基準への対応や、評価取得にかかるコスト・人材不足、具体的な実施手順の把握に悩んでいるの状況です
ガイドライン適用状況の可視化と不適合項目への対策
本サービスでは、企業が抱える、「何を・どうやって・誰が・どこまで実施すれば良いのか?」をSCS評価制度の★3・★4ガイドラインに照らし客観的な目線で評価分析を実施することで不適合項目を可視化し、強化すべきポイントや優先順位を踏まえた計画的な取り組みをご支援します。
本サービスのメリット:内部視点・外部視点の両面で現状を分析
他の一般的なセキュリティリスク分析と異なSCS評価制度★3・★4ガイドラインに照らし合わせ、内部視点と外部視点の両面からアセスメント分析を行います。
内部リスク分析 :企業を包括的に分析
外部視点の分析 :攻撃者目線で外部から見て攻撃対象となりうるリスクがあるかを分析
★3・★4取得で提供する成果物
SCS評価制度ガイドライン★3、★4にたらし合わせたアセスメント実施により可視化された、「対応状況チェックリスト」、「外部視点分析」、「ガイドライン評価指標不適合項目」の分析結果と共に、不適合項目に対する人的支援領域とITツール支援領域を念頭に、共通基盤となるポリシー規程の考え方と共に、「人的支援、ITツール支援を網羅した対策指南書」を成果物としてご提示します。
サービス提供価格
本サービスでは、企業規模に関わらすワンプライスでサービスをお届けします。
お見積りご希望の場合はお問い合わせください。