委託先へのサイバー攻撃、どう防ぐ
株式会社イセトー、株式会社関通、ライクキッズ株式会社、东京损保鑑定株式会社など个人情报を委託されている组织がランサムウェアをはじめとしたサイバー攻撃を受けるインシデントが多発しています。委託先へのサイバー攻撃をどのように防ぐべきかを解説します。
Save to Folio
多発する委託先へのサイバー攻撃
2024年も残すところ约3か月、この1年のサイバー攻撃を象徴するのは「委託先へのサイバー攻撃」だと考える方が多いのではないでしょうか。実际2024年は、委託先へのサイバー攻撃により、委託元の组织が被害を公表する事例が多発しました。
サイバーセキュリティ関係者の中で、最も注目を集めたインシデントの1つは、株式会社イセトーへのサイバー攻撃と言えるでしょう。
イセトーは自治体などから纳税通知书などの印刷业务委託を请け负っている中で、2024年5月から7月にかけてサイバー攻撃を受けたことを公表しました。これを受け、株式会社クボタ、マニュライフ生命保険株式会社、京都商工会议所など委託元の组织が、委託していた情报が漏洩したことを公表しました。
イセトーからの発表ではないものの、一部委託元组织の公表では、この事例におけるランサムウェア攻撃者グループは「8产补蝉别」とされています。
参考:ランサムウェア「8叠补蝉别」の感染动画
2024年7月、东京ガス株式会社とそのグループ子会社の东京ガスエンジニアリングソリューションズ株式会社へのサイバー攻撃では、业务委託元から提供を受けた一般消费者の个人情报约416万人分などが漏洩した可能性があるとされ、こちらも各委託元组织が被害を公表しています。
株式会社イセトー及び东京ガス株式会社へのサイバー攻撃の详细はこちらをご覧ください。
その后も、委託先へのサイバー攻撃は続発しています。2024年9月には、子育て支援施设などを受託するライクキッズ株式会社がサイバー攻撃を受け、2024年10月1日时点で「现时点では具体的な情报漏洩の事実は确认できていないものの、弊社が保有する公司情报や个人情报の一部が漏洩もしくは閲覧された可能性がございます。」としています。これをうけ、东京都大田区などが情报漏洩の可能性をしています。
2024年10月には、损害保険会社から査定业务の委託を受ける东京损保鑑定株式会社がサイバー攻撃を受けたことをしました。これを受け、损害保険ジャパン株式会社、叁井住友海上火灾保険株式会社が被害をし、损害保険ジャパン株式会社は、「契约者の氏名、被保険者の氏名?住所?电话番号?証券番号、事故の详细、损害调査のためにご提出いただいた书类など」を东京损保鑑定株式会社へ共有していたこともしました。
委託先へのサイバー攻撃、どう防ぐ?
サイバーセキュリティ対策を検讨する上で、多くのセキュリティ担当者は「自社のセキュリティ」「子会社?関係会社のセキュリティ」「委託先のセキュリティ」というポイントで対策を考えるのではないでしょうか。
?自社のセキュリティ対策
自社のサイバーセキュリティ対策は、どのような组织でも最も意识しやすい范囲です。拠点や支店などがある场合でも、ネットワークの统合とセキュリティをあわせて検讨するケースも多いと思います。
?子会社、関係会社のセキュリティ
次に意识されるのが、资本関係などがある子会社や関连会社のセキュリティではないでしょうか。资本関係があるといっても别会社なので、自社内よりは调整が困难になることが一般的です。グループ会社全体でサイバーセキュリティのポリシーを均一化したり、セキュリティツールによる対策レベルを同等にしていきたいとお考えの组织も多いようです。
参考:200社超のセキュリティツールを统合した神戸製钢所の戦略
?委託先のセキュリティ
子会社、関係会社や委託先のセキュリティを考えるうえで意识すべきは「セキュリティの樽」という発想です。いくら1か所のセキュリティを强固にしたとしても、関係する组织などのセキュリティ対策が适切に行われていないと、组织全体のセキュリティレベルは最も低水準の组织まで下がってしまう(樽に贮められる水の量は一番低い板にあわせられる)ということです。
それでは、委託先のセキュリティを考える场合、どのように対策を进めていけばよいのでしょうか。様々なやり方があると思いますが、トレンドマイクロでも実践している方法をご绍介します。
?委託している情报の重要度を棚卸する
个人情报、机密情报などを委託する场合、その重要度に沿って委託先に求めるセキュリティレベルを决めます。例えば、一番わかりやすいものは「个人情报」です。个人情报の场合、お客様の情报が含まれることもあるため求められるセキュリティレベルも高くなります。
?个人情报を委託している组织への対策
トレンドマイクロでは、滨厂惭厂やプライバシーマークの取得有无の确认に加え、个人情报を委託する场合、定期的に実地监査を行い、适切に个人情报が管理されているかを现地で确认、必要な场合は是正措置などをすり合わせています。株式会社イセトーへ情报を委託していた徳岛県は「委託业务完了后、个人情报は削除することとしており、削除した旨の报告书を受领していたが、実际には削除されていなかった」としており、滨厂惭厂やプライバシーマークの取得状况の确认や报告书だけではなく、実际に运用が适切に行われているかの确认が重要といえます。
?机密情报を委託している组织への対策
机密情报と言っても様々な种类があります。例えば、事业戦略に関わるような未発表の製品に関する情报や未発表の决算情报などは重要度が高いと言えるでしょう。一方で、製品の一部机能の変更などは前述した情报と比べると重要度は低いと言えるのではないでしょうか。一言に机密情报の委託と言ってもそのレベルは様々です。一部の従业员しか情报を知るべきではなく、漏洩した场合ビジネスに大きな影响を及ぼす「最高机密」、最高机密ほどではなくともビジネスに影响を及ぼす「机密」、社外に公开していないものの、ビジネスにはそれ程影响を及ぼさない「社外秘」など、机密情报の中でも重要度に分けてセキュリティを考えることが求められます。机密情报を委託する际には、このようにどのレベルの情报を委託しているかを明确にしたうえで、その重要度に沿って委託先の监査、监督を行うことを推奨します。
あわせて考えるべきなのは、その情报にどのように委託先が接するかです。例えば、委託先の従业员が委託元に常驻していたり、委託元の社内ネットワークにアクセスできる场合、自ずとリスクも高くなり求められるセキュリティ対策も强固になります。
复数ある委託先に対して、全く同レベルのセキュリティ対策を求めることは非常に困难です。その业务に関するリスクを明确にしたうえで、そのリスクをどう「回避」するか、场合によってはそのリスクは「许容」するという発想も重要です。まずは个人情报、机密情报に関わらず委託先を棚卸してみることを推奨します。おそらく、想定している以上に委託先が多いことに気づくでしょう。棚卸をした后に自组织のビジネスへの影响度を鑑みて重要度を决め、重要度が高い部分からセキュリティ対策を検讨していくことをおすすめします。
执笔者
高桥?昌也
トレンドマイクロ株式会社
シニアマネージャー
PCサーバ Express5800、ファイアウォール、ネットワーク検疫、シンクライアントのプロダクトマーケティングマネージャーに従事した後、2009年にトレンドマイクロ入社。
2012年当时、业界に先駆けて日本国内への标的型攻撃(础笔罢)について、统计データを用いた情报発信をリード。
现在は、リサーチャーと连携し、サイバーリスクマネジメントや础滨セキュリティに関する情报発信を行う。
取引先への个人情报监査やサプライチェーンリスクマネジメントも担う。
主なメディア出演:日本テレビ(NEWS ZERO)、フジテレビ(めざましテレビ)、テレビ朝日(報道ステーション)、TBS(林先生が驚く初耳学!)、日本経済新聞、朝日新聞、毎日新聞、読売新聞、産経新聞など
