サプライチェーン調査:3rd パーティーから 4th パーティーへの可視化の拡大が不可欠

Almost all Organizations are Working with Recently Breached Vendors

2023/02/01 InfoSecurity — サプライチェーン攻撃の増加に伴い、サプライヤー/ビジネスパートナー/顧客のセキュリティが、より厳しく監視されるようになっている。2023年2月1日に、セキュリティ評価プロバイダー SecurityScorecard と Cyentia Institute 発表した Close Encounters of the Third (and Fourth) Party Kind という新しいレポートは、組織の依存関係におけるリスク調査に基づくものである。

その結果として、世界中の組織の 98.3% が、過去2年間に情報漏えいを起こした、少なくとも1社の 3rd パーティーと密接に連携している。また、50% 以上の組織が、過去2年間に情報漏えいを起こした、200社の 4th パーティー (パートナーやサプライヤー) と間接的に連携していることが判明した。



SecurityScorecard の VP of Data Analytics である Mike Woodward は、「データ侵害は、セキュリティ問題の最も明白で深刻な症状の1つだ。したがって、この驚愕の数字が非常に気になる」と Infosecurity に述べている。

Exposure to breaches via third (top) and fourth (bottom) party relationships. Source: SecurityScorecard
3rd/4th パーティーとの大きな差異

このようにサプライチェーン侵害に直面する頻度が高いのは、さまざまな要因に起因するとレポートはは述べている。

まず、組織は多くの 3rd パーティーや 4th パーティーに依存している。平均して、企業 (1st パーティー) は 10社の 3rd パーティ・ベンダーと関係を維持しており、ヘルスケア業界では 15.5社に、情報サービス業界では 25社になっている。さらに、サプライチェーン上の 3rd ベンダーの先には、平均して60~90倍の 4thベンダーが存在し、それらとも間接的な関係を結んでいることになる。

また、このレポートでは、3rd パーティーのセキュリティに関する達成度が、1st パーティーと比べて低いことが示されている。たとえば、SecurityScorecard 評価システムによると、最高のセキュリティ評価である A を、1st パーティー は 3rd パーティーの2倍以上獲得している。それに対して、最低の評価である F に関しては、3rd パーティーが 1st パーティー の5倍近くも獲得している。

Comparison of security posture rating for first and third parties. Source: SecurityScorecard

さらに、研究者たちは、セキュリティへの取り組みが悪く、セキュリティ・スコアが低い組織としては、3rd パーティーが2倍、4th パーティーは 10倍となり、リスクが倍増していることが判明した。

SecurityScorecard の CEO である Aleksandr Yampolskiy は、「組織に存在する攻撃対象は、組織が所有または管理している技術だけに留まらない」と述べている。

それを証明するのが、2018 年に発生した British Airways ハッキングなどの、繰り返して発生しているインシデントである、Woodward は、「この問題は、Swissport に起因するものだった。 British Airways は英国の Information Commissioner’s Office (ICO) に対して、この侵害は自社のベンダーを標的にしたものだと伝えた。しかし、ICO は British Airways の責任だと指摘し、いずれにしても航空会社は罰金を科されると答えた」と述べている。

可視化とパッチ適用の考え方

Woodward は、「こうしたリスクを減らすために、自社やパートナーが何をインストールしているのか、それが定期的に更新され、必要なときにパッチが適用されているのかを、1st パーティーである企業は意識するべきだ。組織内の部門やサプライチェーン全体にセキュリティ・ポリシーを実装することで、従業員が定期的にシステムを更新していると主張できるようになる」と述べている。

彼は、「一部の規制当局から、この種のプログラムの義務付け始めるという、ヒントが見いだせる」と付け加えている。

Yampolskiy は、「それぞれの組織は、3rd パーティーや 4th パーティーにまで及ぶ、エコシステム全体のセキュリティ評価を可視化する必要があり、それにより、依存関係にある組織が信頼に値するかどうかを瞬時に把握し、リスクを軽減するための積極的な措置を取ることが可能になる」とは述べている。

2021年に米国のバイデン政権が発した、国家のサイバー・セキュリティの改善に関する大統領令に従い、SBOM の作成を義務付けるという考え方が導入された。つまり、すべてのサービスで使用されているハードウェアとソフトウェアの全製品と、そのバージョンや、パッチ適用前の潜在的な脆弱性に関する、最新リストを保持することである。

SecurityScorecard のレポートは、235,000社以上のグローバル組織と、73,000以上のベンダー製品からのデータ分析に基づくものだ。

サプライチェーンの問題が指摘され始めてから、ずいぶんと時間が経ちましたが、このような調査レポートは、これまで無かったように思えます。その意味で、Security Scorecard と Cyentia Institute に拍手です。単につながるから危険なのではなく、3rd/4th へと距離が離れるごとに、セキュリティへの取り組みや対策が、立ち遅れている様子が明示されています。この Close Encounters of the Third (and Fourth) Party Kind は、読む価値アリだと思います。