CHECK
01
サプライチェーン全体でのセキュリティガバナンス強化
今回のインシデントは、侵入経路が「関係会社のシステム」と推測されている点が最大の教訓です。自社のセキュリティを強固にしても、取引先や関連会社といったサプライチェーンの一部が弱点となり、侵入を許してしまうケースは後を絶ちません。
対策として、自社だけでなく、業務上接続が必要な全ての関係会社に対して、契約時にセキュリティ要件を明確に定義し、定期的なセキュリティ監査や脆弱性診断の実施を義務付けることが不可欠です。また、ゼロトラストの考え方に基づき、たとえ信頼関係にある会社からのアクセスであっても無条件に信用せず、全ての通信を検査・検証するアーキテクチャへの移行が求められます。
CHECK
02
侵入を前提とした検知・対応能力の向上
不正アクセスを100%防ぐことは困難であるという前提に立ち、万が一侵入された際に、いかに迅速に検知し、被害を最小限に抑えるかが重要です。今回のケースでも、アクセス遮断という対応は取られていますが、検知に至るまでの時間や影響範囲の特定が課題となります。
具体的な対策としては、サーバーや端末の不審な挙動を監視するEDR(Endpoint Detection and Response)や、ネットワーク全体の通信を監視するNDR(Network Detection and Response)といったソリューションの導入が有効です。これにより、不正な内部活動を早期に発見できます。加えて、インシデント発生時の対応手順を定めた計画(インシデントレスポンスプラン)を策定し、定期的な訓練を通じて、関係者がスムーズに連携できる体制を構築しておくべきです。
CHECK
03
認証基盤とアクセス制御の厳格化
関係会社を経由してアクセスされた背景には、認証情報の窃取や不適切なアクセス権限管理があった可能性が考えられます。従業員や外部委託先のアカウント管理は、セキュリティの根幹をなす要素です。
対策として、全てのシステムアクセス、特に重要な情報資産へのアクセスに対して多要素認証(MFA)を必須とすることが極めて重要です。さらに、「最小権限の原則」を徹底し、各アカウントには業務上必要最低限の権限のみを付与し、定期的な棚卸しを行うべきです。管理者権限のような特権IDについては、使用状況をリアルタイムで監視・記録し、不正な利用を即座に検知できる仕組み(特権IDアクセス管理)の導入も検討すべきでしょう。
