IPA 10大脅威 2019 ~法人4位

2019/12/15 ブログ
logo

法人4位: サプライチェーンの弱点を悪用した攻撃の高まり


原因:
自組織のみが対策をしても防ぐことができません。
・サプライチェーンに参加している組織のセキュリティ対策不足
・サプライチェーンを適切に選定、管理していないため、セキュリティ対策をしていない組織もサプライチェーンに参加している
・サプライチェーンに参加している組織の再委託先や再々委託先の管理は困難
→委託先組織の先に再委託先組織や再々委託先組織がある場合、その管理は委託先組織が行うため、委託元からのセキュリティ対策管理はさらに難しくなる

 

事例:
委託先への不正アクセスが原因でメールアドレス情報が漏洩
実施すべき情報セキュリティ対策が仕様書に明示されていないことが殆どで、情報漏洩が発生した時に問題となる

 

◆委託元
予防:
規則の徹底
信頼できる委託先の選定
被害後の対応:
被害への保証


◆委託先
予防:
業務に応じた広範囲な対策が必要
被害後の対応:
委託元への連絡

 

委託をするのはいいですが、する方もリスクが大きいですね。