企業のサプライチェーンを狙った攻撃に警鐘が鳴らされてから久しいが、その脅威は依然として続いており、近年、その対策製品が提供され始めている。本レポートでは、そのひとつである「サプライチェーンリスク管理製品」の特徴と、その同列として語られる傾向にある「EASM製品」の価値について言及する。
企業を取り巻くサイバーセキュリティの脅威において、「サプライチェーンの弱点を悪用した攻撃」によるリスクが急速に高まっている。その影響範囲の大きさから、サプライチェーンリスクへの対応は、今日、最も重視すべきサイバー攻撃対策のひとつであるとITRでは見ている。なお、同脅威は、IPA(独立行政法人 情報処理推進機構)でも「情報セキュリティ10大脅威 2023」において、企業が認識すべきセキュリティ脅威の第2位にあがっており、その重要性が示唆されている。
サプライチェーン攻撃では、標的となる企業とビジネス上の関係を持つ企業のなかで、セキュリティの成熟度が比較的低い企業に対する攻撃が初めに行われ、その後、その企業と標的とする企業との接点(システム間連携やメールの送受信など)を介して、標的となる企業が攻撃される。なお、一言で「サプライチェーン攻撃」といってもさまざまな攻撃手法があり、これらを把握することが肝要である。一般的には、サプライチェーン攻撃は図1に示す3つに分類される。
図1のいずれの攻撃でも以下の2点は共通する。
①攻撃の糸口は、標的となる企業のサプライチェーン構成企業の情報資産である
②その情報資産を足掛かりにして、標的となる企業に攻撃が行われる
つまり、この攻撃への対策の難しさは、「自社ではない事業体のセキュリティの成熟度」まで視野を広げて対策を講じなければならない点になる。