サプライチェーンリスクに対応

　発電所や水道施設などの社会インフラや工場を狙うサイバー攻撃の脅威が増す中、情報セキュリティーの関連各社は、攻撃への備えを支援する取り組みを加速させている。サプライチェーン（供給網）のセキュリティー対策を後押しするサービスの拡充へと動き出したほか、インシデント（事故）対応訓練をリモート環境で提供したり攻撃リスクを可視化したりする企業も現れた。

　5月に世界を震撼（しんかん）させるサイバー攻撃が発覚した。米石油パイプライン最大手のコロニアル・パイプラインが、データを暗号化し身代金を要求するランサムウエアの攻撃を受け、操業停止に追い込まれたのだ。

　社会や産業の基盤を支える供給網が途絶し顧客に製品やサービスが供給できなくなるリスクを「サプライチェーンリスク」と呼ぶ。これまでも世界各地で連鎖の弱点を突くサイバー攻撃が表面化し、電力供給施設や上水道処理施設などが標的となってきた。

　サイバー脅威の増大を踏まえて野村総合研究所（NRI）グループのNRIセキュアテクノロジーズ（NRIセキュア）は、今秋にもサプライチェーンのセキュリティー対策を後押しするサービスの提供体制を強化。委託先を含む多様なサプライチェーンリスクに対処できるよう、コンサルティングや診断からソリューションの提供までを一貫支援する。

　NRIセキュアの柿木彰社長は「企業にサプライチェーンリスクの増大とデジタルトランスフォーメーション（DX、デジタル変革）という二つの変化の波が押し寄せ、これを軸にセキュリティー対策を打つ範囲も広がりつつある」と気を引き締める。

　トレンドマイクロもサイバー攻撃の脅威に備え、対策ツールと人材の両面で提案力を強化。7月には、CISO（最高情報セキュリティー責任者）や事業統括責任者らを対象にしたトレーニングサービスを提供すると発表した。国内の法人組織が安全なDXを実現できるよう支援する。

　日立製作所は、リモートで実践的な「サイバー防衛訓練」に参加できるサービスを用意。新型コロナウイルスの感染拡大で受講者が密集しやすいリアル演習の実施が難しくなっている現状を踏まえ、6月にオンライン演習の提供に乗り出した。

　東芝は米セキュリティー企業と共同で、インフラを監視制御するシステムに迫るサイバー攻撃の脅威に備え、脆弱性評価ツールを開発した。模擬的に攻撃を実行しセキュリティーの強度を検証できることが特徴だ。

　NECもセキュリティー対策の支援に余念がない。システムのセキュリティー上の危険と対策効果を可視化する「サイバー攻撃ルート診断サービス」を用意した。現状のシステムの脆弱（ぜいじゃく）性を分析し、対策を実施した際の危険度の変化を可視化することで、優先順位に基づいた効率的なリスク対応を実現できる。

　同社が開発したサイバー攻撃リスク自動診断技術を活用。攻撃可能なルートを網羅的に検出するとともに、それぞれの危険度を「見える化」し、リスクの高い経路を明らかにする。今後3年間で240社への提供を目指す。

　政府は今秋にも「次期サイバーセキュリティ戦略」を閣議決定し、9月創設のデジタル庁が主導するDXと一体となったセキュリティー対策を推進したい考えだ。案では「サプライチェーン全体を見渡したリスク管理の重要性は増す」と指摘。新たな価値創出を支えるサプライチェーンの信頼性確保に向けた基盤づくりを進める方針を示しており、官民で防御力を強化する動きが熱を帯びそうだ。

　一方、コロナの感染拡大を機にテレワークの普及が進む中、サイバー攻撃の脅威は家庭内のホームネットワークにも忍び寄る。クラウド活用も進んで企業とホームネットワークの境界線が曖昧になる中、「境界線防御」の対応も問われ始めた。

　トレンドマイクロは、国内外の脅威動向を分析した。2020年に不正な通信を検知したルーター数を見ると、19年比1.3倍に増加。大多数はパスワードを総当たりで試し不正ログインする「ブルートフォース（総当たり攻撃）」だった。

　クレジットカードなどの情報を盗み取るフィッシング詐欺の脅威も増している。詐欺サイトへ誘導された国内の利用者数は2500万人以上と過去最大を更新した。

　同社はテレワーク環境の整備を進める多くの企業にとって、重大なリスクになる可能性があると警告。組織としてホームネットワークへの対策について検討する課題を投げかけた。