今日のデジタル時代において、サイバーセキュリティにおけるサードパーティリスクを理解することは極めて重要です。企業がサービスの主要部分をサードパーティに委託するケースが増えるにつれ、関連するサイバーリスクも増大し続けています。本日は、こうしたリスクの本質を分析し、現実世界で発生したサードパーティリスクの事例から学ぶことに焦点を当てます。
サードパーティのサイバーリスクは、サードパーティベンダーのセキュリティ上の脆弱性によって、自社または顧客のデータが漏洩した場合に発生します。これらのシナリオを詳しく見ていくことで、これらのリスクをより具体的に理解しましょう。
例1:ターゲット社の侵害
重大なサイバーセキュリティインシデントにつながるサードパーティリスクの最も顕著な例の1つは、2013年のTarget Corporationのデータ侵害です。ハッカーはHVACベンダーを通じてTargetのネットワークに侵入し、4,000万人の顧客のクレジットカードとデビットカードの情報が漏洩しました。
この侵害は、ターゲットのサードパーティベンダーのセキュリティ脆弱性だけでなく、社内ネットワークアクセスの分離と管理の欠如にも起因しています。この侵害により、保険金の払い戻し後、推定1億6,200万ドルの損失が発生しました。これは、金銭的損失と評判の失墜の両面において、サードパーティのサイバーリスクが制御可能な範囲の広さを示す一例です。
例2:Facebookとケンブリッジ・アナリティカのスキャンダル
2018年にFacebookがケンブリッジ・アナリティカを巡るデータ不正利用をめぐり、最も注目を集めた事例の一つがFacebook社によるデータ不正利用でした。政治コンサルティング会社であるケンブリッジ・アナリティカは、Facebookユーザー約8,700万人の個人情報を入手し、ユーザーの明示的な同意を得ることなく政治広告に利用しました。Facebook社は、膨大な量のユーザーデータへのサードパーティ製アプリケーションによる共同アクセスを許可し、深刻なプライバシー侵害を引き起こしました。
この事件は、企業がサードパーティベンダーがアクセスするデータを管理し、厳格なセキュリティと機密保持対策を確実に実施する必要性を強調しています。ベンダーの活動を監視することは、サードパーティリスクの軽減に不可欠です。
例3: クラウドホッパー攻撃
Cloud Hopperは、2016年に発覚したサイバースパイ活動で、マネージドITサービスプロバイダー(MSP)を標的とし、顧客ネットワークへのアクセスを目的としていました。侵入に成功すると、ハッカーは様々なMSP顧客から情報にアクセスし、窃取することが可能となり、サードパーティのクラウドサービスがもたらすリスクと、堅牢なサイバーセキュリティ対策の必要性を浮き彫りにしました。
この侵害は、サードパーティのクラウドサービスプロバイダーに対する厳格な審査と継続的な監視の重要性を浮き彫りにしています。また、すべての脅威アクターが目先の金銭的利益だけを狙っているわけではないことを改めて認識させてくれます。中には、企業スパイ活動や知的財産の窃盗を目的とする者もいます。
例4: SolarWinds攻撃
2020年のSolarWindsへのサイバー攻撃は、サプライチェーン攻撃の一例であり、サードパーティの脆弱性がもたらす危険性について組織に警鐘を鳴らすものとなりました。国家の支援を受けていると疑われる高度な持続的脅威(APT)グループが、SolarWindsのOrion製品のソフトウェアアップデートに悪意のあるコードを注入しました。
その結果、約18,000の組織が侵害されたアップデートをダウンロード・インストールし、米国政府機関やその他のグローバル企業を含む大規模な侵害が発生しました。これは、サードパーティ製ソフトウェアの小さな脆弱性がいかに壊滅的な結果につながるかを如実に示しています。
結論として、サードパーティのリスクとその現実的な影響を理解することは、サイバーセキュリティ環境を管理する上で非常に重要です。サードパーティのサイバーセキュリティ対策をコントロールすることはできないかもしれませんが、誰と協力するか、どの程度のネットワークアクセスを許可するか、そしてどのように彼らの活動を監視するかは、完全にコントロールできます。Target、Facebook、Cloud Hopper、そしてSolarWindsの事例から学ぶことで、より優れたリスク管理とプロアクティブな保護戦略への道が開かれます。