サプライチェーンのセキュリティ脅威に備える- 今何がおこっているのか、

あなたは何をすればいいのか -

2019年5月

情報処理推進機構 セキュリティセンター

セキュリティ対策推進部 セキュリティ分析グループ

グループリーダー 小川 隆一

研究員 小山 明美

目次

•はじめに

•事故（インシデント）事例

•情報セキュリティ対策

•まとめ

•参考：役立つ情報

1Copyright © 2019 情報処理推進機構

はじめに

2Copyright © 2019 情報処理推進機構

ITサプライチェーンとは

•ＩＴシステム・サービスの業務委託・調達の形態

– システム・サービスを構成するソフトウェア、ハードウェア、サービスのライフサイクル全般（設計・開発・流通・運用・廃棄）が対象

– ソフトウェアの調達＋モノの調達＋運用委託

3Copyright © 2019 情報処理推進機構

委託元 委託先 再委託先 再々委託先

役務・成果物

役務・成果物

役務・成果物

契約

仕様・要求事項

仕様・要求事項

仕様・要求事項

契約 契約

ＩｏＴで再注目

なぜサプライチェーンは注目されているのか

•グローバルな調達要件 NIST SP800ｰ171

•インシデントの脅威 情報漏えい、システム停止

•経済産業省の政策 ・サイバー・フィジカル・セキュリティ対策フレームワーク

・中小企業対策

•対策の遅れ

4Copyright © 2019 情報処理推進機構

•従来のサプライチェーンリスク– 災害・事故などが起こっても事業を止めないこと（ＢＣＰ、事業継続）に

重点がおかれてきた

•セキュリティリスクの顕在化① 内部不正・不正アクセスによる委託先からの情報流出

② 委託先からの納品物にマルウェアが混入

③ 委託元・委託先からのサイバー攻撃メール

④ 調達したソフトウェア・オープンソースソフトウェアの脆弱性による事故

⑤ システム運用委託先（クラウド、ＩｏＴシステム等）における停止事故・情報流出・情報消滅・乗っ取り

サプライチェーンリスクの怖さ

5Copyright © 2019 情報処理推進機構

情報セキュリティ10大脅威2019ランキング第4位

「個人」向け脅威 順位 「組織」向け脅威

クレジットカード情報の不正利用 1 標的型攻撃による被害

フィッシングによる個人情報等の詐取 2 ビジネスメール詐欺による被害

不正アプリによるスマートフォン利用者への被害

3 ランサムウェアによる被害

メール等を使った脅迫・詐欺の手口による金銭要求

4サプライチェーンの弱点を悪用した

攻撃の高まり

ネット上の誹謗・中傷・デマ 5 内部不正による情報漏えい

偽警告によるインターネット詐欺 6 サービス妨害攻撃によるサービスの停止

インターネットバンキングの不正利用 7インターネットサービスからの

個人情報の窃取

インターネットサービスへの不正ログイン 8 IoT機器の脆弱性の顕在化

ランサムウェアによる被害 9 脆弱性対策情報の公開に伴う悪用増加

IoT機器の不適切な管理 10 不注意による情報漏えい6Copyright © 2019 情報処理推進機構

事故（インシデント）事例

7Copyright © 2019 情報処理推進機構

委託先へのサイバー攻撃①

8

• 男子プロスポーツ法人Ａの事案（2017年4月25日業務委託先企業より公表）• 最大約15万５千件の個人情報（クレジットカード情報約３万２千件含む）が搾取

（または閲覧）された可能性• カードの不正利用は、379件、約880万円の被害が報告（5月8日時点）

①悪意のある第三者は、法人ＡのWebサーバおよびデータベースに、公開された脆弱性Apache Struts2をついて不正アクセスし、個人情報を搾取

②詐取されたクレジットカード情報が不正利用された

法人Ａのファンクラブ受付サイト

ウェブサーバ

再委託先Ｃ社開発・運用

エンドユーザ

再委託先Ｄ社開発・運用

法人Ａのチケットサイト

個人情報

悪意のある第三者

ウェブサーバ

委託先企業Ｂ社

脆弱性

脆弱性

再委託

再委託

不正利用

個人情報

Copyright © 2019 情報処理推進機構

委託先企業Y社

委託先へのサイバー攻撃②

• Y社が構築したX社の通信販売用サイトが、SQLインジェクションによる不正アクセスを受け、過去に利用した顧客のクレジットカード情報を含む個人情報が流出。

• ウェブサイトを構築したY社は、X社から個人情報漏えい対応費用や原因究明のための調査費用および売り上げの減少に対して約1億円の損害賠償請求を受けた。（東京地判平成26年1月23日判時2221号71頁）

9Copyright © 2019 情報処理推進機構

①悪意のある第三者は、X社のウェブ受注システムの脆弱性をついてSQLインジェクション攻撃を行い、クレジットカード情報を搾取

②詐取されたクレジットカード情報が不正利用された

X社ウェブ受注システム

レンタルサーバ

消費者クレジットカード情報

悪意のある第三者

脆弱性

不正利用

クレジットカード情報

委託元

X社

SQLインジェクション攻撃

X社ウェブ受注システムの設計、保守等の委託

グループ企業における内部不正

• 大手学習塾の委託先社員が個人情報約4,858万件を持ち出し、名簿業者3社に売却（2014年10月2日報道）

• 不正競争防止法違反（営業秘密の複製）容疑で警察に逮捕された

•

https://www.ipa.go.jp/security/economics/csmgl-kaisetsusho.html

事故の要因• 顧客情報データベースには*アクセス制限機能・情報流出防止機

能が用意されていたが、スマートフォンの新しいデータ交換規格に対応していなかった

• 委託先社員は流出防止機能を解除して犯行に及んでいた

• 顧客からの苦情

発覚経緯

10Copyright © 2019 情報処理推進機構

委託先における内部不正

11

https://www.ipa.go.jp/files/000057060.pdf

出典： IPA「組織における内部不正防止ガイドライン～付録Ｉ：内部不正事例集～」

•金融機関のATM の保守管理業務を委託している企業の社員が、ATMの取引データから顧客のカード情報を不正に取得した。この情報から偽装キャッシュカードを作成・所持し、現金を引き出した。

事故の要因

• プロジェクト責任者であった元社員に権限が集中し、一人でカードの偽装が可能だった。相互監視の体制も不十分だった

Copyright © 2019 情報処理推進機構

情報セキュリティ対策今どうなっている、何からすればいい

12Copyright © 2019 情報処理推進機構

直接管理できるのは委託先、再委託先以降の管理は委託先任せ

13

• 約86％の組織が、直接の取引がある委託先の状況を把握。• 再委託先以降の取引もある組織のうち約47%の組織が再委託先以降の状況を把握。

アンケート調査

• サプライチェーン全体を可視化できる企業はインタビューした企業にはほぼいない。• 管理できるのは一次委託先までで、委託先以降は各委託元が管理することが現実的。• 顧客の業界によって、再委託禁止（サプライチェーンの範囲が指定）される場合もある。

インタビュー調査

再委託先または再々委託先以降のサプライチェーンを有する企業におけるセキュリティ対策状況の把握範囲（単回答）

委託先または再委託先等に対するセキュリティ対策状況の把握の有無（単回答）

86%

14%

把握している いずれも把握していない

Ｎ＝1,249

53%47%

直接の取引がある委託先のみ把握している

再委託先または再々委託先以降も把握している

Ｎ＝673

△47%

委託元 再委託先以降

○86%

委託元がセキュリティ対策状況を把握する範囲

委託先

半数以上が把握せず

Copyright © 2019 情報処理推進機構 （出典）IPA「情報セキュリティに関するサプライチェーンリスクマネジメント調査」 (2017年3月）

40.7

47.3

54.5

17.8

12.4

1.6

11.4

0% 20% 40% 60% 80% 100%

情報セキュリティ要件として

何を取り決めるべきかわからない

実施すべき具体的な情報セキュリティ対策が

明示されていない

情報セキュリティ上の責任範囲（責任分界点）が

わからない

再委託について契約に規定しているが、

情報セキュリティに対し不安がある

約款に基づくサービス利用（クラウド等）の場合、

自社の情報セキュリティ要求事項を満たさない

その他

無回答

(N=499)

委託元が抱えている課題

•課題① 契約において情報セキュリティ上の責任範囲がわからない（委託元54.5％）

② 実施すべき情報セキュリティ対策が明示されない（委託元47.3％）

③ 社内に十分な知見・スキルを持った人材がいない（委託元63.1%）

14

委託先との契約における課題

①

②

Copyright © 2019 情報処理推進機構（出典）IPA「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」 (2018年3月）

33.1

63.1

58.5

21.4

9.0

1.8

7.4

0% 20% 40% 60% 80% 100%

自社の属する業界において、

委託先の情報セキュリティ確保への意識が低い

社内に十分な知見・スキルを持った人材がいない

すべての業務委託に対して統一的な管理体制やルールを

適用することが難しい

委託先の情報セキュリティ対策にかかわる部門間の調整が

大変である

海外の委託先に対して国内の委託先と同じ管理を

適用することは現実的でない

その他

無回答

(N=499)

情報セキュリティに関する委託先管理の推進の課題

③

何をすればいいのか

•まずは、基本からやりましょう

– サプライチェーンだからと言って対策は特別なものではありません

– 中小企業でもできることはあります

15Copyright © 2019 情報処理推進機構

まずおさえていただきたいこと：トップの関与

• セキュリティ対策が経営者の責任であることを示す基本方針を策定

• 経営者による意思決定を組織全体に周知

• 実施状況が把握できる管理体制を企業の規模や実情に応じ構築

16

経営者情報システム部

総務部 人事部法務・知財部

営業・開発等の各部門

1.基本方針 〇

2.資産管理 〇 〇

3.物理的管理 〇 〇 〇

4.技術的管理 〇 〇

5.証拠確保 〇 〇

6.人的管理 〇 〇 〇 〇

7.コンプライアンス 〇 〇 〇 〇

8.職場環境 〇 〇 〇

9.事後対策 〇 〇

10.組織の管理 〇 〇

セキュリティ対策10分類と関連部門

組織横断の取り組み

Copyright © 2019 情報処理推進機構

基本対策 1

重要情報の特定（明確化）• 少なくとも重要情報と一般情報に分けて管理（情報の格付け区分）• 重要度ごとに取扱いルールを定め、定期的に見直す（取扱範囲、

廃却方法等）• 従業員にわかるように「情報区分」を表示（ラベル付け）

営業秘密として不正競争防止法の法的保護を受けるためにも重要

17

不正取得不正使用不正開示

・顧客名簿、新規事業計画、価格情報、対応マニュアル等（営業情報）

・製造方法・ノウハウ、設計図面等（技術情報）

【営業秘密】：研究・開発情報営業活動等の過程で創出した情報

Copyright © 2019 情報処理推進機構

基本対策 2

•守るものが決まったら次は「接近の制御」「持ち出し困難化」「視認性確保」

18Copyright © 2019 情報処理推進機構

• OSやソフトウェアは常に最新の状態にしよう！ソフトウェアの欠陥である脆弱性は、ソフトウェアを更新して根本的に解消する

• ウイルス対策ソフトを導入しよう！ウイルス対策ソフトを導入し、流行しているウイルスの感染を未然に防ぐ

• パスワードを強化しよう！パスワードは「長く」「複雑に」「使いまわさない」！

• 共有設定を見直そう！共有設定を見直して、無関係な人に情報を覗き見られるトラブルを回避

• 脅威や攻撃の手口を知ろう！新聞やインターネット等から情報を収集し、被害に遭わないよう手口を事前に知る

基本対策 3 情報セキュリティ５か条

19Copyright © 2019 情報処理推進機構

出典: https://www.ipa.go.jp/files/000055516.pdf

取組状況 1 接近の制御対策

20

• 大企業はまあまあ対策、しかし企業規模による有意な差がみられる

Copyright © 2019 情報処理推進機構

取組状況 2 持ち出し困難化

21

•大規模企業でも進まない対策あり

– 「業務用資料のコピー制御」は、大規模企業でも実施は1割未満

Copyright © 2019 情報処理推進機構

取組状況 3 視認性の確保

22

• 「社員に社員証等の着用を義務付けている」「情報システムログを記録・保管している」で、企業規模による有意な差がみられる

Copyright © 2019 情報処理推進機構

まとめ

23Copyright © 2019 情報処理推進機構

まとめの対策

24情報セキュリティ対策の継続した見直しと改善

顧客データベース等

①適切なアクセス権限管理最小権限の原則・重要情報へのアクセス制限

重要情報へのアクセスを制限

③視認性の確保光学的な監視機構整備

ログの記録・定期的な確認

操作ログ

⑤働きやすい環境の整備信頼関係の維持・向上等

罰則規程の整備

㊙ 持ち込み禁止

持ち出し承認、記録

正規社用・承認済

営業秘密

一般情報

物理・技術防御未承認PC未承認モバイル機器

アクセス権限者

④ルール化と周知徹底秘密情報に対する認識向上、

外部記録媒体の持ち出しルール等

②持ち出し困難化コピー制限、社外へのメールやWebの制限等

やりにくくする やると見つかる

（労力の）割りに合わない その気にさせない

いいわけさせない心理的抑止

Copyright © 2019 情報処理推進機構

そして、サプライチェーンパートナーの連携が大切！

•委託元と委託先との情報共有

– 何が大事なのか、どう守るかを決めましょう

– セキュリティ対策状況をどう確認するか決めましょう

•例えば、契約、チェックシート、ヒアリング

25Copyright © 2019 情報処理推進機構

参考：役立つ情報

26Copyright © 2019 情報処理推進機構

2019年3月19日改版！

中小企業の情報セキュリティ対策ガイドラインhttps://www.ipa.go.jp/security/keihatsu/sme/guideline/

•情報セキュリティ対策の必要性、情報を安全に管理する具体的な手順等を分かりやすい言葉で示したガイドライン

– 経営者が認識すべき「3原則」、実行すべき「重要7項目の取組」を記載

– サンプルを参考に、自社のセキュリテイ規程を作成できる

– クラウドサービスを安全に利用するための留意事項やチェック項目を追加

27Copyright © 2019 情報処理推進機構

情報セキュリティ10大脅威2019https://www.ipa.go.jp/security/vuln/10threats2019.html

•10大脅威とは？

– 2006年よりIPAが毎年発行している資料

– 「10大脅威選考会」の投票により、情報システムを取巻く脅威を順位付けして解説

– 個人 と 組織 の二つの分野で整理

28Copyright © 2019 情報処理推進機構

秘密を守る対策本

•秘密情報の保護ハンドブックの

てびき*1

•組織における内部不正防止ガイドライン*2

*1：http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/170607_hbtebiki.pdf*2：https://www.ipa.go.jp/security/fy24/reports/insider/index.html 29

Copyright © 2019 情報処理推進機構

ITサプライチェーン実態調査の報告書等公開URL

ITサプライチェーンの業務委託における

セキュリティインシデント及びマネジメントに

関する調報告書（2018年3月）

https://www.ipa.go.jp/about/press/20180326.html

1. はじめに

調査背景・目的、スコープ、実施概要

2. ITサプライチェーンにおけるインシデントの状況

ITサプライチェーンにおけるインシデント事例、紛争の状況

3. ITサプライチェーンリスクマネジメントの標準と考え方

ITサプライチェーンリスクマネジメントに関する基準、ガイドライン及び規格等、 業務委託の全体像と 個別プロセスにおける情報セキュリティ確保の取組み

4. ITサプライチェーンリスクマネジメントに対する企業の取組みの現状

調査仮説、回答者属性、業務委託の状況、取組み状況

5. まとめ

付録1 ITサプライチェーンで発生したインシデント事例集

付録2 アンケート調査票

付録3 アンケート単純集計結果

ITサプライチェーンにおけるセキュリティの

責任範囲に関する調査報告書

(2019年3月)

https://www.ipa.go.jp/about/press/20190419.html

1. はじめに

調査背景・目的、スコープ、実施概要

2. 責任範囲の明確化の状況（事例調査）

責任範囲にまつわるトラブル事例、明確化の事例、対策等

3. 責任範囲の明確化の状況（アンケート調査）

契約書の雛形と運用、責任範囲が明確にならない理由等

4. まとめ

付録1 文献調査 調査結果一覧

付録2 アンケート調査票

付録3 アンケート単純集計結果

30Copyright © 2019 情報処理推進機構

31

Thank you!

Copyright © 2019 情報処理推進機構