深刻化するサプライチェーン攻撃
昨今サイバー攻撃はますます増加しており、昨年には大手自動車メーカーを狙ったランサムウェア攻撃が大きな話題になりました。特にサプライチェーンを狙う攻撃は顕著になっており、情報処理推進機構(IPA)が公開した「情報セキュリティ10大脅威 2024」でも、「サプライチェーンの弱点を悪用した攻撃」は2位にランクインしています。
日本自動車工業会と日本自動車部品工業会は、2023年に「自工会/部工会・サイバーセキュリティガイドライン 2.1版」を公開しました。同ガイドラインでは、企業規模を問わず自動車産業に関係するすべての企業が優先的に取り組むべきセキュリティ対策の重要項目を提示しています。
自動車産業におけるサイバーセキュリティの課題
セキュリティガイドラインの遵守は非常に重要な取り組みでありながら、喫緊の課題ではないため、つい後回しにされがちです。セキュリティ専門人材やノウハウ不足のため着手できていない企業も多く、何らかのインシデントが発生してから初めて対策を考える対症療法的な考え方になりがちです。
しかし、昨今増加するサプライチェーン攻撃では、標的企業を直接攻撃せず、まず上記のように管理が脆弱な周辺組織を狙います。そして、多数の企業からなるサプライチェーンで成り立つ自動車産業では、その構造上、攻撃の影響が複数の周辺企業にまで及びやすいことが特徴です。もはや、自社のセキュリティ対策だけでは不十分であり、サプライチェーン全体におけるセキュリティレベルの向上が求められています。
企業がとるべき対策とは
サプライチェーン全体のセキュリティレベルを向上させるには、各企業が連携し相互に及ぶ影響を最小限に抑えるための対策を実施することが重要です。そして、万一攻撃を受けた場合を想定し、迅速な対応がとれる体制を整えておく必要があるでしょう。
多くの企業でセキュリティ人材が不足する中で、担当者の業務負担を抑えつつ安定した運用管理を行うには、安全性を確保しながら工数を削減できるツールを導入することが有効です。ガイドラインの全項目に単一で対応できるソリューションは存在しませんが、適切なツールを組み合わせることで要求事項の多くに対応することができます。
ManageEngineで課題を克服し、ガイドライン準拠を実現する
下記資料では、同ガイドラインで提示される要求事項のうち、ユーザーID/アクセス権/ログ/特権ID管理に関する項目に焦点を当て、具体的に取り組むべき対策について説明します。また、各要求事項を実践する上で各社が直面するであろう課題と、ManageEngine製品を活用することでどのように課題を克服し、ガイドラインの準拠を実現することができるか解説します。
本資料では以下3製品を取り上げています:
- Active Directory統合運用管理ツール「AD360」
- SIEMツール「Log360」
- 特権ID管理ツール「Password Manager Pro」