2022.01.30 怖い話④「うちの会社が狙われるわけがない」
センター長の中村です。
情報セキュリティやサイバー攻撃の話をさせていただくと、次のように反応される方がいます。
「大企業ならまだしも、うちの会社が狙われるわけがない」
「盗まれたって、困る情報はコンピュータにはいっていない」
この認識は、早く変える必要があります。
世の企業は大小を問わず、原料の調達・製造・在庫・出荷・販売・消費という一連の流れの中に存在しています。
この流れにおける様々な相互情報伝達がコンピュータネットワークを介して行われています。
当社もメーカーのサイトへ接続して発注や在庫の照会、技術情報を参照したり、納入済みの機器や納入先の情報を共有したり、お客様を含めた担当者同士のメールのやり取りなど、日常の業務です。
例えば、A社が持っている技術情報を狙う産業スパイは、直接A社を攻めるより、セキュリティ対策レベルの低いA社の協力会社B社を攻撃し、メールの盗聴やIDやパスワードを盗み出し、B社のふりをしてA社へアプローチしたり、B社のパソコンをモニタしたりして、欲しい情報を入手します。
きわめて簡単にいうとこれがサプライチェーン攻撃の例です。
「サイバー警察」がネット上に流失しているA社の技術情報に気づき、A社へ通達。
B社へ捜査が入り、流出経路が判明、今後のA社とB社の取引は・・・。
この場合、B社は被害者ではなく加害者となりえます。
怖いですね。
攻撃者は「狙いたい先」と「乗っ取りやすい先」の両方を狙っています。
「情報セキュリティ10大脅威 2022」IPA(情報処理推進機構)において、サプライチェーン攻撃は3位にランクアップしています。
では、どのような対策が有効なのか?
情報セキュリティに対する意識を経営者が先頭に立って高めること。
企業・組織としてその取り組みを宣言し、基本方針をベースに情報セキュリティポリシーを策定し、周知・教育することが必要だと考えます。
「うちの会社が狙われるわけがない」と考えている方こそ、
ぜひ相談してください。