企業はどのようにしてサプライチェーンのセキュリティを確保できますか?

SolarWindsのサプライチェーン攻撃以来、あらゆる規模の組織がサプライヤのセキュリティを確保する方法にますます注目が集まっています。大小の組織は同様に、サプライチェーン攻撃の犠牲者になっています。政府のリソースと資金があっても、米国財務省と国土安全保障省はまだ問題を解決していないだけでなく、SolarWindsの攻撃の影響を受けました。

セキュリティサプライチェーン

現実には、サプライチェーン攻撃はなくなることはありません。2021年の第1四半期に、137の組織が27の異なるサードパーティベンダーでサプライチェーン攻撃を経験したと報告しましたが、サプライチェーン攻撃の数は前四半期から42%増加しました。

これは疑問を投げかけます:サプライチェーン攻撃からの脅威の増加に関して、企業はどのようにリスクを軽減することができますか?

サプライヤーのリスクを評価するための10のベストプラクティス

企業がサプライチェーン攻撃を発生前に検出できるという保証はありませんが、リスクを軽減し、サプライチェーンのセキュリティを検証するために企業が検討できる10のベストプラクティスがあります。

1.サプライヤのITインフラストラクチャが危険にさらされた場合に、各サプライヤがビジネスに与える可能性のある影響を評価します。フルリスクアセスメントが望ましいですが、小規模な組織にはそれを実施するためのリソースがない場合があります。ただし、少なくとも、最悪のシナリオを分析し、次のような質問をする必要があります。

  • このサプライヤのシステムに対するランサムウェア攻撃は、私のビジネスにどのような影響を与えますか?
  • サプライヤのソースコードがトロイの木馬ウイルスによって侵害された場合、私のビジネスはどのように影響を受けますか?
  • サプライヤーのデータベースが危険にさらされ、データが盗まれた場合、それは私のビジネスにどのような影響を与えますか?

2.各サプライヤの内部ITリソースとコンピテンシーを評価します。セキュリティマネージャーまたはCISOが率いる専任のサイバーセキュリティチームがありますか?サプライヤのセキュリティリーダーシップを特定することは重要です。それは、サプライヤがあなたの質問に答えることができるからです。チームが存在しないか、真のリーダーシップを持たないスタッフが不足している場合は、このサプライヤーとの契約を再検討することをお勧めします。

3.サプライヤのセキュリティマネージャまたはCISOに会って、システムとデータをどのように保護しているかを確認します。これは、ステップ1で特定されたリスクに応じて、短い会議、電話、または電子メールでの会話になります。

4.サプライヤーが主張していることを確認するための証拠を要求します。浸透レポートは、これを行うための便利な方法です。テストの範囲が適切であることを確認し、可能な場合は常に、2つの連続するテストに関するレポートを要求して、サプライヤーがその調査結果に基づいて行動していることを確認します。

5.サプライヤーがソフトウェアプロバイダーである場合は、独立したソースコードレビューを依頼してください。場合によっては、サプライヤーはNDAに完全なレポートを共有するように要求したり、共有しないことを選択したりすることがあります。これが発生した場合は、エグゼクティブサマリーを求めてください。

6.サプライヤがクラウドプロバイダーの場合は、サプライヤのネットワークをスキャンするか、Shodan検索を実行するか、サプライヤに独自のスキャンのレポートを要求できます。自分でスキャンする場合は、サプライヤから許可を取得し、関係のないものをスキャンしないように、顧客の住所を自分の住所から分離するように依頼してください。

7.サプライヤがソフトウェアまたはクラウドのプロバイダーである場合は、サプライヤがバグ報奨金プログラムを実行しているかどうかを確認します。これらのプログラムは、攻撃者が脆弱性を悪用する前に、組織が脆弱性を見つけて修正するのに役立ちます。

8.サプライヤーにリスクの優先順位をどのように優先しているかを尋ねます。たとえば、Common Vulnerability Scoring System(CVSS)は、コンピュータシステムのセキュリティ脆弱性の重大度を評価し、重大度スコアを割り当ててサプライヤがリスク対応に優先順位を付けることができる、無料のオープンな業界標準です。

9.サプライヤーのパッチレポートを要求します。彼らがレポートを持っているという事実は、セキュリティと脆弱性の管理に対する彼らのコミットメントを示しています。可能であれば、独立したエンティティによって作成されたレポートを取得するようにしてください。

10.ステップ1から9は、ビジネスへのリスクと影響に応じて、毎年繰り返す必要があります。影響の少ないサプライヤの場合、これはあまり頻繁に実行されない可能性があります。ビジネスの成功にとってミッションクリティカルであり、リスクが高いサプライヤの場合、ビジネスは永続的な評価プロセスを開発することをお勧めします。ただし、大規模なSaaSおよびIaaSプロバイダーは、進行中の評価に参加する意思がない場合があります。

最終的な考え

これらの推奨されるベストプラクティスに従うことで、企業は特定のサプライヤーに関連するリスクを特定し、サプライヤーがそれらのリスクをどのように管理しているかを理解し、サプライヤーがそれらのリスクをどのように軽減しているかに関する証拠を収集できます。この証拠とリスクへの欲求に基づいて、企業はこのサプライヤーと協力するための情報に基づいた決定を下すことができます。最後に、これらの評価を実行するときは、一貫性を目指し、時間の経過とともに変化するリスクを探します。

誰もがサプライチェーン攻撃を阻止できるという保証はありませんが、次世代のマルウェア対策保護で自分の環境を保護し、ユーザーと継続的なサイバーセキュリティトレーニングを実施し、これらのベストプラクティスに従うことで、リスクを軽減できることを忘れないでください。あなたの組織に。