自動車関連サプライチェーンの企業に対するサイバー攻撃の報道が続いています。その他食品関連や金融関連などあらゆる業種におけるサプライチェーンが何らかの攻撃を受けているとの報道もあります。

また、ロシアのウクライナ侵攻に対する制裁を受けて、ロシアによるサイバー攻撃の計画があるとして米国大統領が民間企業に防御態勢を構築するように呼び掛けたようです。日本企業においてもグローバル展開している各国の関連企業も同様な危険にさらされることになります。

昨今のサイバー攻撃の特徴としては、国内企業の本社ではなく、海外別法人であったり、部品を調達している協力企業がターゲットになっています。ビジネス取引を装うなりすましメールなどの手法で攻撃の種となるマルウエア攻撃をしています。セキュリティ対策不十分であったり、経営者や従業員のサイバー攻撃に対する意識が希薄な企業が被害にあっている状況です。

サプライチェーンの中核企業は、自らが定めたセキュリティポリシーを、各サプライチェーに属する企業は遵守するという形でセキュリティ対策の徹底を指示していたと思います。このような書面による対策だけではインシデントを未然に防ぐことができないことが明らかになったと言えます。

中核企業が採用したセキュリティ対策の仕組みやセキュリティ教育を、すべてのサプライチェーン企業が導入すれば、少なくとも大きなサイバー攻撃につながるような攻撃を食い止めることができるはずです。それには各企業の費用負担も少なくないことから簡単に同じ対策を求めることはなかったと思います。また、下請事業者の利益を不当に害するとにつながりかねないという考え方から実施は難しかったかもしれません。

現実的にはもっとも脆弱とされる従業員が利用するPCがターゲットとなって狙われており、そのPCが過去に送信したメール履歴などにより社内外へのも同様ななりすましメールが送られています。

アンチウイルスを常に最新の定義ファイルに更新すること、OSやソフトウェアの脆弱性に対する修正版を適用することといった最低限の対策の実施状況を常に確認するようにしてみてはいかがでしょうか。

クオリティソフトが提供する「PCドック」は、クラウドからインターネットを利用してサプライチェーンの各企業の利用するPCの脆弱性診断が可能です。PCが最新の定義ファイルや修正ソフトを適用しているか毎日チェックすることができます。しかもこの脆弱性診断は無償で毎日利用いただけます。

日々の脆弱性診断結果を診断書としてPDFに出力できます。この診断書をサプライチェーンの上階層企業へ提出するような運用することが可能になります。この診断結果の確認とその対策指示がすべての企業で行われることが、セキュリティ意識の底上げとなり、大きなサイバー攻撃を防ぐことに役立つと思います。

有償のクラウドサービスISM CloudOneにも同様な脆弱性診断があり、診断結果からすぐに脆弱性に対処することが可能です。

It's only fair to share...
00