サプライチェーンとエッジ:データ収集とデバイス管理を一挙に解決

Securing the Edge in the Supply Chain

2021/09/21 SecurityBoulevard — サプライチェーンとは、大半の人々が当たり前のように利用するものだが、何か問題が起こると簡単に崩れ去ってしまう。今回のパンデミックで浮き彫りになったのは、サプライチェーンが寸断されると、ビジネスが即座に停止してしまうという現実である。より効率的にサプライチェーンを運用する、エッジ・コンピューティングが発見されたが、このエッジへの移行には、サプライチェーンのサイバー・セキュリティに対する新しいアプローチが必要となる。

エッジでのコンピューティング

サプライチェーン・マネジメントにおいて、エッジ・コンピューティングは必要不可欠なものとなっている。エッジ・コンピューティングは、データをよりよく集約できるため、サプライチェーンにリアルタイムの可視性をもたらす。つまり、デバイスやオペレーションを監視し、より効果的/効率的な商品の配送を可能にするための、即時的な意思決定を可能にする。

IoT (Internet of Things)/IIoT (Industrial Internet of Things) デバイスへの依存度が高まることで、サプライチェーンにおけるエッジ・コンピューティングが可能になり、2025年には 75% の企業がエッジ・コンピューティングに依存するようになると、Gartner は予測している。しかし、エッジ・コンピューティングへの依存度が高まると、セキュリティ・リスクも高まる。

大きな攻撃対象

しかし、このようなリスクを軽減するためには、まず企業がそのリスクがどこにあるのかを認識する必要がある。Shared Assessments の senior advisor である Nasser Fattahは、「エッジ・コンピューティングは、より多くのスケーラビリティと分散のメリットをもたらす。つまり、敵対者も、より大きな攻撃面を利用することになり、たとえば DDoS の更なる分散も進んでいく。

攻撃対象が大きくなると、保護することが難しくなる。エッジ・デバイスが必要なレベルのセキュリティを備えていない場合、ハッカーはサプライチェーンのデータに侵入し、重要な情報の流れを阻害するためのドアを開いていく」と電子メールでコメントしている。また、偽のデータを作成し、企業を欺いて冗長な供給品を発注させたり、逆に必要な供給品を発注させなかったりする機会も与えられる。Gurucul の CEO である Saryu Nayyarは、電子メールによるインタビューで、「このような攻撃は、通常のシステムやネットワークへの攻撃よりも、企業を混乱させる可能性が高い」と述べている。

層状のセキュリティ

サプライチェーンでは大量のデータが生成され、その攻撃対象も多岐にわたるため、エッジを保護するためのセキュリティ・レイヤーを検討する必要がある。SecurityGate の CPO である Cherise Esparzaによると、まずリスク・アセスメントを行い、業務内容に応じたリスクレベルを決定し、不足しているギャップを特定することが必要だ。エッジ環境のセキュリティ層は、すでに使用しているサイバーセキュリティ・ソリューションの、延長線上に置かれる必要がある。対象企業のネットワークに、ゼロトラスト戦略が導入されているのであれば、それをエッジにも適用すべきだ。

Esparza は、「企業がエッジ・ソリューションに投資し、そのメリットを享受しようとするなら、エッジ・デバイスのセキュリティを確保する方法を理解し、ソリューションを提供するベンダーに何を期待するのかを理解することが、何よりも重要となる」と語っている。サプライチェーンのエッジを保護するためには、社内の IT チームとベンダーが、お互いに重要なパートナーとなる。IoT チームが持っている、エッジ・デバイスのセキュリティを確保するための背景やツールは、ITスタッフやアプリケーション開発者とは異なる視点からのものになる。

Nayyer は、「エッジ・デバイスは、多くの場合、何らかの形で企業ネットワークに接続されているため、大きな脅威となる。それらのエッジデバイスを、個々のデバイス・レベルで保護するのか、企業ネットワークから完全に隔離するのか、そこから決める必要がある」と述べている。新しいテクノロジーに対応した、セキュリティ・ソリューションの設計は常に必要であり、それはサプライ・チェーンにおけるエッジのセキュリティにも当てはまる。

エッジ・コンピューティングに関連するリスクを理解し、緩和のための適切なコントロールを認識し、サプライチェーンを構成するすべての関係者を巻き込み、そのセキュリティにおける役割を理解してもらうことが重要だ。それにより、脅威アクターたちが、サプライチェーンを攻撃し、すべてのパートナーの企業活動を混乱させる事態を、防がなければならない。

エッジ・コンピューティングには、サプライチェーンをリアルタイムに可視化していく能力がある。しかし、攻撃面積を拡大することで、攻撃や侵害も受けやすくなる。その一方で、Gartner の予測によると、2025年には 75%の企業がエッジ・コンピューティングに依存するようになる。それならば、セキュリティという観点で、エッジ・コンピューティングの長所を活かし、短所を抑え込むというソリューションが成り立つ・・・ という論旨の展開ですね。9月8日の「エッジにおけるセキュリティ AI/ML:自身が標的とされるリスクと期待される貢献」という記事と、重なり合う部分があります。よろしければ、合わせて お読みください。

%d bloggers like this: