クラウドとサプライチェーン攻撃の関係
クラウドサービスの利用は、サプライチェーンを拡大させることを意味します。クラウドプロバイダー、MSP(マネージドサービスプロバイダー)、SaaSベンダー——これらすべてが、サプライチェーンの一部となります。
- クラウドプロバイダーへの依存
- IaaS、PaaS、SaaSを利用することで、インフラやアプリケーションの運用をクラウドプロバイダーに委ねることになります。プロバイダー側でセキュリティ事故が発生すれば、利用者にも影響が及びます。
- MSPへの依存
- クラウド環境の構築・運用をMSPに委託している場合、MSPのシステムやアカウントが侵害されると、顧客企業のクラウド環境にも被害が及びます。Kaseya事件がその典型例です。
- SaaSへの依存
- 業務アプリケーションとしてSaaSを利用している場合、SaaSベンダーのセキュリティがそのまま自社のリスクとなります。また、SaaSの設定不備により情報漏洩が発生するリスクもあります。
- 責任分界点の曖昧さ
- クラウドサービスでは「共有責任モデル」が適用されますが、どこまでがプロバイダーの責任で、どこからが利用者の責任かが曖昧になりがちです。この曖昧さがセキュリティギャップを生み出します。
| リスクの種類 | 具体例 | 影響 |
|---|---|---|
| MSP経由の攻撃 | Kaseya事件(2021年) | 1,500社以上がランサムウェア感染 |
| SaaSの設定不備 | Salesforce、Microsoft 365の設定ミス | 情報漏洩、不正アクセス |
| クラウドプロバイダーの障害 | AWS、Azure等の大規模障害 | サービス停止 |
| APIの脆弱性 | クラウドサービス間連携の不備 | データ漏洩、不正操作 |
MSP経由の攻撃リスク
MSP(Managed Service Provider:マネージドサービスプロバイダー)は、IT環境の構築・運用を代行するサービス提供者です。MSPは顧客のシステムにリモートアクセスできるため、MSPが侵害されると顧客企業にも被害が及びます。
Kaseya事件の教訓
2021年7月に発生したKaseya VSA事件は、MSP経由のサプライチェーン攻撃の代表例です。
- 事件の概要
- Kaseyaは、MSP向けにリモート監視・管理ツール「Kaseya VSA」を提供していました。攻撃者はKaseya VSAの脆弱性を悪用し、このツールを経由して複数のMSPに侵入。MSPを経由して、その顧客企業にランサムウェア(REvil)を配布しました。
- 被害の規模
- 世界中で**1,500社以上**がランサムウェアに感染しました。MSP1社が侵害されることで、そのMSPの顧客すべてに被害が及ぶという、サプライチェーン攻撃の特性が顕著に表れた事件です。
- 教訓
- MSPを利用する場合、MSPのセキュリティ体制を確認することが重要です。また、MSPからのアクセス権限は最小限に抑え、異常なアクセスを監視する体制が必要です。
海外事例の詳細については、サプライチェーン攻撃の海外事例|SolarWinds・Kaseya・NotPetyaを解説をご覧ください。
MSP選定のポイント
MSPを選定する際は、以下のセキュリティ観点を確認しましょう。
| 確認項目 | 確認内容 |
|---|---|
| セキュリティ認証 | ISMS(ISO 27001)、SOC 2等の取得状況 |
| 脆弱性管理 | 使用ツールの脆弱性対応、パッチ適用体制 |
| アクセス管理 | MFA導入、特権アカウント管理、監査ログ |
| インシデント対応 | 対応体制、報告手順、賠償責任 |
| セキュリティ教育 | 従業員へのセキュリティ教育の実施状況 |
MSP利用時の対策
- アクセス権限の最小化
- MSPに付与するアクセス権限は、業務に必要な最小限に制限します。管理者権限を無条件で付与することは避け、必要な範囲のみにアクセスを許可しましょう。
- 監視・ログ収集
- MSPからのアクセスを監視し、ログを収集します。通常と異なる時間帯のアクセス、大量のデータ転送など、異常なパターンを検知できる体制を整えましょう。
- 緊急時の対応計画
- MSP経由でセキュリティ事故が発生した場合の対応計画を事前に策定します。MSPへのアクセス遮断手順、代替運用体制などを含めます。
SaaSの設定管理
SaaSは便利ですが、設定不備により情報漏洩や不正アクセスのリスクが生じます。SaaSの設定はサプライチェーン攻撃の入口になりうるため、適切な管理が必要です。
設定不備のリスク
- 公開設定のミス
- ファイル共有やストレージの公開設定を誤り、機密情報がインターネット上に公開されてしまうケースがあります。「リンクを知っている人は誰でもアクセス可能」といった設定には注意が必要です。
- 権限設定のミス
- ユーザーに過剰な権限を付与してしまい、意図しないデータアクセスや操作が可能になるケースがあります。最小権限の原則に従った設定が重要です。
- 認証設定の不備
- MFA(多要素認証)が有効になっていない、パスワードポリシーが弱いなどの設定不備により、アカウントが侵害されるリスクがあります。
- API連携の設定ミス
- SaaS間のAPI連携において、過剰な権限を付与したり、APIキーを適切に管理しなかったりすることで、セキュリティリスクが生じます。
クラウド設定不備の詳細については、関連ページをご覧ください。
定期的な設定レビュー
SaaSの設定は、導入時だけでなく定期的にレビューすることが重要です。
- レビューの頻度
- 四半期ごと、または重要な設定変更時にレビューを実施します。ユーザーの追加・削除、権限変更、連携サービスの追加なども確認対象です。
- レビューの観点
- 公開設定、権限設定、認証設定、監査ログ設定、API連携設定などを確認します。SaaSベンダーが提供するセキュリティチェック機能も活用しましょう。
- SSPMの活用
- SSPM(SaaS Security Posture Management)は、SaaSの設定を自動的にスキャンし、リスクのある設定を検出するツールです。複数のSaaSを利用している場合に特に有効です。
共有責任モデルの理解
クラウドサービスでは、共有責任モデルが適用されます。プロバイダーと利用者で責任範囲が分かれており、利用者側の責任範囲を正しく理解することが重要です。
| サービス形態 | プロバイダーの責任 | 利用者の責任 |
|---|---|---|
| IaaS | 物理インフラ、仮想化基盤 | OS、ミドルウェア、アプリ、データ、アクセス管理 |
| PaaS | 物理インフラ、OS、ミドルウェア | アプリケーション、データ、アクセス管理 |
| SaaS | 物理インフラ、OS、アプリケーション | データ、アクセス管理、設定 |
- サプライチェーン攻撃との関連
- サプライチェーン攻撃は、プロバイダー側で発生する場合と、利用者側の設定不備を悪用する場合があります。どちらの場合も、責任の所在を明確にし、適切な対策を講じることが重要です。
- 責任の明確化
- 契約書やSLA(Service Level Agreement)で、責任範囲を明確に確認しましょう。特に、セキュリティインシデント発生時の責任範囲、通知義務、賠償責任などを確認することが重要です。
- 利用者側の責任の重要性
- SaaSであっても、利用者側には「データ保護」「アクセス管理」「設定管理」の責任があります。「クラウドに任せれば安全」という誤解は危険です。利用者側の責任を正しく理解し、対策を実施しましょう。
CASBの活用
CASB(Cloud Access Security Broker)は、クラウドサービスの利用を可視化し、セキュリティを強化するためのソリューションです。
- SaaSの可視化と制御
- 従業員がどのSaaSをどのように利用しているかを可視化します。許可されていないSaaS(シャドーIT)の利用を発見し、リスクを評価できます。
- シャドーITの発見
- 情報システム部門が把握していないSaaSの利用(シャドーIT)は、サプライチェーン攻撃のリスク要因となります。CASBを使って未許可のSaaSを発見し、適切に管理しましょう。
- DLP(データ損失防止)機能
- 機密情報がSaaSを通じて外部に流出することを防止します。ファイルのアップロード・ダウンロードを監視し、ポリシーに違反する操作をブロックします。
- 脅威防御機能
- マルウェアに感染したファイルのアップロードを検知・ブロックしたり、不審なアクティビティを検知したりする機能があります。サプライチェーン攻撃でマルウェアがSaaS経由で拡散することを防止できます。
シャドーITの詳細については、関連ページをご覧ください。
クラウドセキュリティのチェックポイント
クラウドサービス利用時に確認すべきポイントをまとめました。
導入時の確認事項
| 確認項目 | 確認内容 |
|---|---|
| プロバイダーのセキュリティ認証 | ISO 27001、SOC 2、ISMAP等の取得状況 |
| データ保管場所 | データが保管される国・リージョン |
| 暗号化 | 通信の暗号化、保存データの暗号化 |
| 認証機能 | MFA、SSO連携の対応 |
| 監査ログ | ログの取得・保存期間・エクスポート |
運用時の確認事項
| 確認項目 | 確認頻度 |
|---|---|
| アクセス権限のレビュー | 四半期ごと |
| セキュリティ設定の確認 | 四半期ごと |
| 監査ログのレビュー | 月次 |
| 退職者アカウントの削除確認 | 退職時、月次確認 |
| プロバイダーのセキュリティ情報確認 | 随時(アドバイザリ購読) |
契約・法的確認事項
- 責任範囲の明確化
- 共有責任モデルに基づく責任範囲を契約書で確認します。
- インシデント発生時の対応
- セキュリティインシデント発生時の通知義務、対応手順、賠償責任を確認します。
- データの取り扱い
- 契約終了時のデータ削除、データエクスポートの可否を確認します。
- 準拠法・管轄
- 契約の準拠法、紛争時の管轄裁判所を確認します。
関連する攻撃手法
クラウド環境を狙う攻撃手法を理解し、対策に活かしましょう。
- クラウド設定不備
- クラウドサービスの設定ミスによる情報漏洩や不正アクセスです。公開設定、権限設定、認証設定などが対象です。定期的な設定レビューとSSPMの活用で対策します。
- 認証情報窃取
- クラウドサービスのアカウント情報を窃取する攻撃です。MFAの導入、アクセスログの監視で対策します。
- サービスサプライチェーン攻撃
- クラウドサービスやMSPを経由した攻撃です。Kaseya事件がその典型例です。プロバイダーのセキュリティ確認、アクセス権限の最小化で対策します。
- フィッシング詐欺
- クラウドサービスのログイン画面を偽装したフィッシングです。MFAの導入、従業員教育で対策します。
- ランサムウェア
- クラウド環境に侵入後、データを暗号化する攻撃です。MSP経由で拡散するケースもあります。バックアップ、アクセス制御で対策します。
- 情報漏洩
- クラウドに保存されたデータが外部に流出する事態です。設定管理、アクセス制御、DLPで対策します。
- シャドーIT
- 管理外のクラウドサービス利用によるリスクです。CASBによる可視化と制御で対策します。
よくある質問
- Q: クラウドを使うとサプライチェーン攻撃のリスクが高まりますか?
- A: クラウド利用自体がリスクを高めるわけではありませんが、**新たなサプライチェーンリスク**が加わることは事実です。クラウドプロバイダー、MSP、SaaSベンダーなど、依存先が増えることでサプライチェーンは拡大します。ただし、適切なセキュリティ対策を講じれば、クラウドのメリットを享受しながらリスクを管理できます。共有責任モデルを理解し、利用者側の責任を果たすことが重要です。
- Q: MSPを使うべきではないのですか?
- A: MSPの利用を避ける必要はありません。自社でIT運用を行うリソースがない場合、**MSPを活用することは合理的**です。ただし、MSPのセキュリティ体制を確認し、アクセス権限を最小限に制限し、監視体制を整えることが重要です。MSP選定時のセキュリティ評価を厳格に行い、契約書にセキュリティ要件を明記しましょう。
- Q: SaaSの設定はどのくらいの頻度で見直すべきですか?
- A: **四半期ごと**のレビューを推奨します。また、ユーザーの追加・削除、権限変更、連携サービスの追加など、**重要な設定変更時**にもレビューを実施しましょう。SSPM(SaaS Security Posture Management)ツールを導入すれば、継続的に設定を監視し、リスクのある設定を自動検出できます。
- Q: 共有責任モデルはどこで確認できますか?
- A: 各クラウドプロバイダーのWebサイトで公開されています。AWS、Azure、Google Cloudなど主要なプロバイダーは、共有責任モデルに関するドキュメントを公開しています。また、契約書やSLAにも責任範囲が記載されています。不明な点があれば、プロバイダーに直接確認することをお勧めします。
- Q: 中小企業でもクラウドセキュリティ対策は必要ですか?
- A: 必要です。むしろ中小企業こそ、クラウドセキュリティ対策が重要です。中小企業はサイバー攻撃の標的になりやすく、クラウドの設定不備が被害につながるケースも多いです。まずは**MFAの導入**、**アクセス権限の見直し**、**セキュリティ設定の確認**から始めましょう。クラウドプロバイダーが提供する無料のセキュリティ機能も活用しましょう。
まとめ
サプライチェーン攻撃とクラウド環境の関係について解説しました。要点を整理します。
- クラウド利用はサプライチェーンの拡大を意味する
- MSP経由の攻撃(Kaseya事件等)に注意が必要
- SaaSの設定不備は情報漏洩・不正アクセスのリスク
- 共有責任モデルを理解し、利用者側の責任を果たす
- CASBでSaaSの可視化・制御を行う
- MSP選定時はセキュリティ評価を厳格に
- 設定レビューは四半期ごとに実施
次のステップとして、サプライチェーン攻撃の感染時対応|初動・連絡網・インシデント対応・演習を解説で、インシデント発生時の対応方法を確認しましょう。
対策カテゴリの全体像は、サプライチェーン攻撃の対策|自社で実践すべき防御策を解説をご覧ください。
## 重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
- 基礎知識を学ぶ
- 事例・動向を知る
- 自社の対策を始める(現在のカテゴリ)
- 取引先管理を強化する
役職・立場別に探す
業種別に探す
人気のページ
更新履歴
- 初稿公開
