サプライチェーン攻撃とサードパーティリスクを防ぐ

多くの組織がサプライチェーンに頼り、 自社の商品やサービスを提供するために サードパーティにアクセス権を 付与しています。 それに伴って、保護対策が不可欠で 広大なアタックサーフェスが 発生しています。 サプライチェーンやサードパーティが もたらすリスクから組織を守る方法を 見てみましょう。 サードパーティリスクを防ぐ最善の方法は、 公式のサードパーティリスク 管理プログラム、略して TPRM（ティーピーアールエム）を 作成することです。 TPRM について簡単に説明すると、 まず、組織のすべての サードパーティサプライヤーと ベンダーを一覧にします。 これには、組織全体から さまざまな専門家の力を 借りる必要があります。 次に、組織にとって重要な サプライヤーとベンダーを特定します。 さらに、組織のデータやシステムに アクセスできるサードパーティを すべて特定します。 その後、ビジネスの重要度と アクセス権に基づいて、 各サードパーティのリスクを評価します。 最後に、それらのリスク評価を使用して 優先順位を付け、 危険なサプライヤーに代わる サプライヤーを見つけ出し、 サードパーティ用の セキュリティ対策を実施します。 サードパーティによるアクセスに関連する リスクを防ぐのに役立つ セキュリティ管理を紹介します。 最小権限の原則に従い、 業務に必要なアクセス権のみを サードパーティに付与します。 サードパーティが組織のシステムに アクセスする際は、 多要素認証の使用を求めます。 また、SIEM（シーム）などの 監視ソリューションを使用して、 サードパーティのアクティビティを 監視します。 サードパーティに付与したアクセス権は、 不要になったらすぐに取り消します。 サードパーティが強固な セキュリティ対策を実施していることを 確認します。 例えば、セキュリティ認証に関する ドキュメントを確認する、 セキュリティに関するアンケートに 回答してもらうなどです。 また、法務チームと連携して、 組織のデータにアクセスする サードパーティと契約を結ぶ際に 強固なセキュリティ対策を要求します。 このように、TPRM の作成には 膨大な労力がかかるため、 多くの組織はこの作業の一部または すべてを外部に委託しています。 作成過程がどうあれ、優れた TPRM は、 サプライチェーンやサードパーティが もたらす多くのリスクを管理して 削減できます。 続いて、 ソフトウェアサプライチェーンについてです。 組織のコードに含まれる脆弱性や 悪意のある OSS によるリスクを 下げるための手順を紹介します。 まず、ソフトウェアコードの 棚卸しまたは監査を行います。 社内の開発者と協力して、 ソフトウェア部品表、略して SBOM（エスボム）を作成します。 SBOM とは、組織のソフトウェア構築に 使用されたコンポーネントの サプライチェーン関係を記載した 正式な記録です。 食品パッケージの原料表示のようなもので、 組織のコードの中で オープンソースソフトウェアが 使用されている箇所を特定できます。 SBOM の作成方法などの詳細については、 米国商務省電気通信情報局の ウェブサイトを確認してください。 開発者のコードを分析して SBOM を作成してくれる企業も 活用できます。 次に、OSS に注意しながら 開発者と SBOM を確認します。 継続利用が必要な OSS を確認し、 可能な限り更新するようにします。 最後に、強固な開発標準を実装して、 何年も更新のない OSS の利用を制限します。 サプライチェーンやサードパーティが もたらすリスクは対策が 困難な場合があります。 このレッスンで紹介した対策を 実施してリスクを下げましょう。