Cyber Security Intelligence Vox

ナノオプト・メディアは、サイバーセキュリティの専門イベント「Security Days Fall 2024」を開催。同イベントから、さくら情報システムによる講演「今さら聞けない、 中堅・中小企業のセキュリティ対策の基本と進め方」をレポートされており、その中で、IPAが毎年公開する「情報セキュリティ10大脅威」の上位に位置づけられているのが「サプライチェーンの弱点を悪用した攻撃」について詳細を紹介します。

発表内容では『「サプライチェーンの弱点を悪用した攻撃」、つまり標的とする企業を直接狙うのではなく、その取引先や委託先に当たるサプライチェーンを狙う攻撃であり、そのほとんどが中堅・中小企業だ。』とのこと。

このサプライチェーン攻撃の真の意図は、講演にある様に、『攻撃者は、大企業のセキュリティ対策が進むにつれ、サプライチェーンの一翼である脆弱な中堅・中小企業を狙うようになった。個人的な肌感でも、大企業が取引先のセキュリティを気にするようになっている』とある様に、ネットワークの弱点を狙っているという事になります。

実際に、警察庁「サイバー空間をめぐる脅威の情勢等」で公表されている最新のランサムウェア被害報告において、最も多い（64%）のが中小企業という事で、講演者は「中堅・中小企業は、まず攻撃手法を知ることから始めるべき」と語っている。

さらに注目すべき点として、講演者はリアリティのある話として、リスク確認の依頼に対して攻撃をかけてみたところ『社員証を持たない部外者がオフィスビルに潜入して、4階にある執務室に入れる』ことが確認できたとのこと。

必ずしも多くの企業がこのような状態ではないにせよ、自社でできるリスクチェックは常に実施しておくべきですね。

https://ascii.jp/elem/000/004/235/4235252/

企業を実際にサイバー攻撃してみたら…？　実例から学ぶ中堅・中小のセキュリティ対策