ウォールストリートジャーナルのJames Rundle氏は、深刻化するサプライチェーンへのサイバー攻撃を受けて、企業や組織は機密データを保護し侵害を防ぐためにサプライヤーに対する監視を強化していると報じています。
この記事はサプライチェーン攻撃の対策に関する非常に優れたポイントが含まれています。是非、経営幹部に共有していただきたい。
これまでサードパーティサプライヤーのセキュリティ対策を確認する方法は定期的なアンケートなどが主流でしたが、ここにきて、企業のセキュリティ責任者は、サプライヤーにサイバーインシデントが発生した場合、直ちに報告させるなどとする、より厳格な規定を契約条件に盛り込み始めています。契約で多くの場合求められるのは、米国商務省標準化技術研究所(NIST)が推奨するベストプラクティスの遵守です。
米国のヘルスケアテクノロジー企業であるChange Healthcareやソフトウェア会社であるProgress SoftwareのMOVEitツールに対する攻撃など、最近注目を集めたサイバー攻撃がこうした契約の強化の緊急性を強調しています。これらのインシデントでは、サプライチェーンによって侵害が急速に広がり、甚大な影響が発生し、数千の企業や組織に影響を与え、数百万の顧客のデータが侵害されています。Change Healthcareへのサイバー攻撃では、米国の多くの医療機関が混乱に陥り、数週間にわたって医療費の決済や保険金の請求ができなくなりました。
JPMorgan ChaseやVoya Financialのような企業は、データ侵害の通知やサイバーセキュリティプロトコルに関してサプライヤー向けに厳格なガイドラインを導入しています。ニューヨーク州および米国証券取引委員会による新たな規制措置により、サードパーティサプライヤーへのより厳しい監視が義務付けられ、強固なインシデント対応計画と業界標準のセキュリティ基準への準拠が求められるようになっています。
JPMorgan ChaseのグローバルCISOであるPat Opet氏は次のように述べています。
「今後の脅威の見通しや、ソーシャルエンジニアリングやランサムウェアの高度化を考えると、現在の市場にあるサードパーティサプライヤーとの信頼関係を管理する方法は不十分でしょう。」
サードパーティサプライヤー各社への期待するところと一般論との違いから、サードパーティサプライヤーとの交渉が難航する可能性もあり、侵害の通知に関する厳格な契約をサプライヤーと明確に合意することは極めて困難と思われますが、サプライヤーと業務提携を開始するにあたり、サイバーセキュリティ担当者は、サプライヤーの説明責任を明確にして、セキュリティ対策を強化するために、データ侵害時の明確な要件を確立することが重要だと考えるようになっています。
JPMorganは、潜在的な攻撃を明確にし、プロアクティブな対応できることを目指しており、脅威インテリジェンスを適用してサプライヤーのリスクを評価しています。この攻めのアプローチは自社のネットワークを守るだけでなく、サプライヤーによるセキュリティ対策も強化しようとする機運が高まっていることを浮き彫りにしています。このようなプロアクティブなアプローチによるサプライチェーンの監視は、多くの企業や組織にとってサプライチェーン全体への実装において困難であることは認識されていますが、近年のサプライチェーン攻撃を考えると、喫緊の課題と言えます。
原典:Stu Sjouwerman著 2024年3月20日発信 https://blog.knowbe4.com/heads-up-reinforce-your-defenses-against-rising-supply-chain-cyber-threats
