ブログ

サイバーセキュリティにおけるサードパーティリスク管理の実例を探る

ジョン・プライス

例1：ターゲットのデータ侵害

最も悪名高い「サードパーティリスク管理の事例」の一つは、2013年のターゲットのデータ侵害です。ターゲットのサードパーティベンダーであるHVAC請負業者がフィッシング攻撃を受けました。サイバー犯罪者は、請負業者のターゲット向けネットワーク認証情報を入手し、侵入の道を開きました。最終的に、サイバー犯罪者はターゲットのPOSシステムにマルウェアをインストールし、約4,000万人の顧客のクレジットカードとデビットカードの情報を盗み出しました。

この侵害は、組織自身のシステムがいかに安全であっても、サードパーティのシステムの脆弱性が攻撃の入り口となり得ることを実証しました。これは、サードパーティベンダーのサイバーセキュリティ対策を強力かつ継続的に監視することの必要性を浮き彫りにしています。

例2：キャピタル・ワンのハッキング

2019年、キャピタル・ワンは1億人以上に影響を及ぼした大規模なデータ侵害に見舞われました。サイバー攻撃者は、サードパーティのクラウドサービスプロバイダーがホストするウェブアプリケーションのファイアウォールの設定ミスを悪用し、顧客データにアクセスしました。漏洩した情報には、14万件の社会保障番号、100万件のカナダ社会保険番号、そして8万件の銀行口座番号が含まれていました。

ここから2つの重要な教訓が得られます。第一に、信頼できるクラウドサービスプロバイダーを利用する場合でも、顧客側での適切なセキュリティ対策が不可欠であるということです。第二に、設定ミスなどの内部的な人為的ミスは、サイバーセキュリティを危険にさらす可能性があるということです。

例3: ソーラーウィンズ・オリオン・プラットフォーム攻撃

2020年に発生したSolar Winds Orionプラットフォームへの攻撃は、最も悪名高い「サードパーティリスク管理の事例」の一つです。この攻撃は単なるデータ侵害ではなく、組織的なサプライチェーン攻撃でした。サイバー犯罪者はOrionプラットフォームのソフトウェアアップデートに悪意のあるコードを挿入しました。フォーチュン500企業や政府機関を含む企業がシステムを更新すると、マルウェアがネットワークに拡散し、サイバー犯罪者はネットワークを自由に悪用することができました。

ここでの教訓は2つあります。サプライチェーン攻撃は複数の組織を一度に危険にさらすため、厳格なサードパーティリスク管理の必要性が示されます。さらに、このような広範囲にわたる脅威を軽減するには、安全な更新手順を確保することが不可欠です。

サードパーティリスク管理への影響と戦略

前述の「サードパーティリスク管理の事例」は、企業にとって教訓となるでしょう。サードパーティリスクには様々な形態があり、効果的なリスク軽減には多面的な戦略が必要であることを示しています。以下の戦略が役立つ可能性があります。

すべてのサードパーティの審査:すべてのサードパーティベンダーの包括的な初期審査と継続的な審査を実施し、サイバーセキュリティ対策とベストプラクティスへの取り組みを評価することが不可欠です。
セキュリティテクノロジの採用:リアルタイムの脅威検出と対応のための最先端のセキュリティテクノロジを導入すると、リスクを積極的に特定して軽減することができます。
インシデント対応計画:インシデント対応計画を立てておくと、違反が発生した場合に迅速な対応が可能になり、潜在的な損害を最小限に抑えることができます。
定期的な監査:定期的な監査により、サードパーティのシステムまたはプロセス内のセキュリティのギャップや脆弱性を検出できます。
契約上の合意:第三者との契約にサイバーリスク条項を含めると、セキュリティがさらに強化されます。

結論として、サイバーセキュリティにおける効果的なサードパーティリスク管理の重要性は、いくら強調してもし過ぎることはありません。「サードパーティリスク管理の事例」で述べたように、この問題に対処しないと、重大なデータ侵害や損失につながる可能性があります。効果的なサードパーティリスク管理戦略を導入することで、企業はサイバーリスクを大幅に軽減し、拡大・進化する脅威環境から資産を守ることができます。

お問い合わせ

セキュリティ体制を強化する準備はできていますか?

この記事についてご質問がある場合、または専門家によるサイバーセキュリティのガイダンスが必要な場合は、当社のチームにご連絡いただき、セキュリティに関するニーズについてご相談ください。

相談の予約