サプライチェーン攻撃とは?
我々はビジネスにおいて取引先へ製品やサービスの提供を行い、サプライチェーンを構成しています。その供給網を攻撃する「サプライチェーン攻撃」が頻発しています。攻撃者は強固なセキュリティ対策をもつ組織を標的とする場合に、サプライチェーンのなかで脆弱な部分を攻撃します。自社は万全であっても、間接的・段階的に関係組織を足がかりにされて、攻撃されてしまうのです。
サプライチェーン攻撃の脅威が高まる中で、今後取引先の選定にも一定のセキュリティ基準を取引先が満たしているかどうか、という観点で検討を行うという気運が高まっていくと考えられます。今後セキュリティ対策が不十分とされる企業とは取引を行わないと明言している大手企業もあります。
サプライチェーン強化に向けたセキュリティ対策評価制度とは?
サプライチェーン攻撃の脅威が高まる中でも、発注者にとっては取引先が正しいセキュリティ対策を行っているか不明確、また受注者にとっては特に中小企業では過度な負担につながっているということで、セキュリティの底上げにつながっていないという現状があります。
この状況を改善するため、経済産業省が主体となって「サプライチェーン強化に向けたセキュリティ対策評価制度」を設計しました。この制度では、サプライチェーンを構成する企業ごとに、セキュリティ対策の実施状況を星の数で可視化します。それによって適切なセキュリティ対策の実施を促し、サプライチェーン全体でのセキュリティ対策水準の向上を図ることが目的となります。
サプライチェーン強化に向けたセキュリティ対策評価制度では、★3から★5の段階で受注企業のセキュリティ対策のレベルを表します。★3はサプライチェーン企業が最低限実施すべきで、★4はサプライチェーン企業が標準的に目指すべきレベルとなります。
企業がとるべき対策とは?
経済産業省は、既に★3と★4の取得に必要となる評価基準案を公開しています。評価基準の大項目は、ガバナンスの整備・取引先管理・リスクの特定・攻撃等の防御・攻撃等の検知・インシデントへの対応・インシデントへからの復旧となっており、その中に様々な要求事項が存在しています。
ManageEngineで「サプライチェーン強化に向けたセキュリティ対策評価制度」に対応
下記の資料では、同ガイドラインで提示される要求事項のうち、IT運用管理ソリューションManageEngineで解決できる項目と、ManageEngineの各製品の特長を紹介します。