サプライチェーンのサイバーセキュリティを確立するための10ポイントガイド

グローバルなサプライチェーンがますますデジタル化するにつれて、企業は膨大な数の間接的なソースからのリスクにさらされています。システムはその最も弱いリンクと同じくらい強力であり、ハッカーは脆弱なコンポーネントを発見するために細心の注意を払って捜索します。

この悪用には高額な費用がかかります。 IBMのデータ侵害のセキュリティコストレポートによると、552万ドルは、従業員数が25,000人を超える企業の侵害の平均総コストであり、従業員数が500人未満の組織の場合は264万ドルです。ほとんどの企業は、ハッカーに要求する身代金を支払います。この夏、Colonial PipelineCo。とJBSSAは、大規模なサイバー攻撃の後に暗号化されたデータを回復するために、ハッカーにそれぞれ440万ドルと1100万ドルを支払いました。

その他の影響には、顧客サービスの中断、信頼の低下、競争力の喪失などがあります。

サイバー犯罪者は、これまで以上に効果的にサプライチェーンを悪用するために、障壁を回避し、弱点を特定しています。コロニアルパイプラインの場合、ハッカーは単一要素認証のみを必要とするレガシー仮想プライベートネットワーク（VPN）プロファイルを悪用しました。

攻撃は企業を不自由にするだけでなく、顧客を傷つけます。侵害の80％は、個人を特定できる情報（PII）に関係しています。ハッカーはPIIとパスワードを使用して、Web全体で個人のさまざまなアカウントにアクセスします。さらに、サプライチェーンが途絶えると、それがビジネスであれ、サードパーティベンダーであれ、サードパーティベンダーであれ、商品やサービスの生産に影響を与えると同時に、価格を押し上げます。

1,000人以上の参加者を対象としたCrowdStrikeSecurity Reportで、上級IT意思決定者とサイバーセキュリティ専門家の3分の2が、組織がソフトウェアサプライチェーン攻撃を経験したことを明らかにしました。同じ数は、彼らの会社が将来の違反に対して防御するための十分な準備ができていないことを告白しました。企業は積極的に取り組み、悪用を防ぐためにサイバーレジリエンスの構築に集中する必要があります。

米国商務省の一部である米国国立標準技術研究所（NIST）は、IT資産を適切に保護するために次の手順を推奨しています。

識別

内部リスクと脆弱性の評価を実施することにより、潜在的な脅威ベクトル（悪意のある攻撃が防御を通過してネットワークに感染するために取る可能性のあるルート）を特定します。高度な評価を行うために会社を雇うことを検討してください。

保護

組織を保護し、脅威イベントを防ぐために必要なアクションを実行します。

• 露出の削減。 ファイアウォールとウイルス対策ソフトウェアによって提供される基本的な保護に加えて、特権アクセス手順を確立することが重要です。最小特権の原則に従います。機密データへのアクセスが必要な従業員のみがアクセスを許可されます。

行動分析、エンドポイント検出および応答（EDR）、人工知能（AI）、脅威インテリジェンスなどのツールは、防御を強化できます。企業は安全なコーディング手法を採用し、Open Web Application Security Project（OWASP）のトップ10Webアプリケーションセキュリティリスクを参照する必要があります。

• 従業員のコミットメントとトレーニング。 従業員はサイバーセキュリティの最後の防衛線であり、最も一般的な脅威ベクトルの1つです。すべての従業員を関与させることが重要です。エグゼクティブスイートは免除されません。従業員の間に健康的な疑いの文化を確立します。このアプローチは過度に妄想的に見えるかもしれませんが、賭け金は高くなる可能性があります。

意識向上トレーニングと内部フィッシングキャンペーンを実施して、従業員を最新のスパムおよびソーシャルエンジニアリング技術にさらします。フィッシングキャンペーンに参加した従業員は、すぐにトレーニングを受ける必要があります。従業員がさまざまで安全なパスワードを使用するという強力なパスワード文化を浸透させます。パスワードが1つの場所で侵害された場合、ハッカーが同じ電子メールに関連付けられた他のアカウントでパスワードを使用する可能性があり、比較的簡単であることを理解してください。

米国国土安全保障省が提供する仮想トレーニングモジュールなど、従業員の学習を補完し、最新の業界トレンドについて従業員を最新の状態に保つために利用できる、役立つ（無料の）サイバーセキュリティリソースが無数にあります。セキュリティ。

• 保険。 攻撃が発生した場合に備えて、適切な保険に加入していることを確認してください。一部の保険会社には、ランサムウェア保護が含まれています。サイバー攻撃でカバーされていないものについて問い合わせてください。
• 物理的セキュリティ 。人員、ハードウェア、ソフトウェア、ネットワーク、およびデータを物理的な侵入や行動から保護します。監視カメラ、警備員、セキュリティシステム、バリア、ロック、アクセスキーカード、火災警報器、スプリンクラー、および従業員と財産を保護するために設計されたその他のシステムなどのソリューションを検討してください。

ピギーバックに注意してください。手をいっぱいにしてオフィスに入る人のためにドアを開けたままにしておくことは礼儀正しく見えるかもしれませんが、それはセキュリティ上の脅威をもたらします。会社の敷地に入るすべての人が許可された人員であることを確認してください。

• 選択的なビジネス関係 。サプライヤネットワークを介したサイバー攻撃はますます一般的になっています。 PonemonInstituteによる2020Cyber​​ Resilient Organization Studyによると、組織の56％が、サードパーティのサプライヤによって引き起こされたサイバーセキュリティ違反を経験したと報告しています。リスクの許容レベルを決定する際には、会社と協力する請負業者またはパートナーを選択する際に選択してください。
• インシデントレポート 。事件を報告するための良い文化と教育を植え付けます。 ITプロフェッショナルは、それをより早く知っていれば、潜在的な被害を減らすことができます。

検出

煙探知器のない家は、監視のないネットワークと同じだと言われています。セキュリティイベントの継続的な監視には、物理​​環境、ネットワーク、サービスプロバイダー、およびユーザーアクティビティを含める必要があります。脆弱性スキャンは優れたツールであり、機密情報を含むシステムで定期的に実行する必要があります。

対応と復旧

応答時間と攻撃のコストの間には相関関係があります。検出、対応、対応、修復に最も時間がかかる業界では、最も高いコストが発生します。迅速な対応は、影響を軽減するのに役立ちます。それでも、その可能性を排除することはできないため、常に予防に重点が置かれています。

災害復旧計画は、災害後にデータアクセスとITインフラストラクチャを復元するために重要です。回復は損傷の範囲によって異なります。

事業継続計画の形式で、すべての潜在的なインシデントシナリオの対応計画と修復ロードマップを作成します。災害時にビジネスを運用し続けるための戦術を含めます。主要ベンダーが攻撃された場合のベンダーの重要度と行動方針を決定します。顧客に対応するために別のプロバイダーに移行する必要がある場合に備えて、バックアップサプライヤーとバックアップのバックアップを参加させます。

効果的なディザスタリカバリ計画の一環として、少なくとも年に1回はサイバーセキュリティ違反をシミュレートすることをお勧めします。これらの訓練を通じて、関係者は彼らの役割と従うべき手順を理解します。

サプライチェーンがより複雑になるにつれて、サイバーセキュリティはあらゆる規模の企業にとって大きな障害となるでしょう。サプライチェーンの弱いリンクを特定して、脆弱性を最小限に抑え、脅威イベントを防止します。サイバーレジリエンシーを構築することで、企業は最悪のシナリオに備えることができます。そうしないと、コストが高くなり、損害が発生します。

Marc Lewisは、Visible Supply ChainManagementの情報セキュリティ責任者です。