![サプライチェーンのセキュリティが脅かされる… 米国政府は「誰も信用しない」よう命令 [허대식의 비즈니스 이노베이션]](https://wimg.mk.co.kr/news/cms/202212/29/20221229_01110205000002_L00.jpg)
グローバル製造企業のサプライチェーンをターゲットに
大企業や上場企業へのハッキングが急増
中小パートナーの弱点を狙う
米国政府のゼロトラストへの移行
多要素認証/最小アクセス セキュリティ原則
パートナーのセキュリティを積極的に強化
ハッカー組織からのサイバー攻撃が従来の製造会社のサプライ チェーンに波及するにつれて、ビジネスと消費者の不安が高まっています。 昨年 5 月 7 日、米国最大の石油パイプライン オペレーターであるコロニアル パイプラインのコンピューター ネットワークがハッカーによって攻撃され、サービスが停止され、米国東部の石油供給が停止されました。 コロニアルはハッカー組織に 500 万ドルを支払い、6 日でシステムを復元しました。 しかし、彼はガス危機と東部地域のガソリン価格の高騰を回避できませんでした。 昨年5月30日、世界最大の精肉会社であるJBSがハッカーの攻撃を受け、アメリカとオーストラリアのすべての食肉処理場と食肉加工生産ラインが閉鎖されました。 JBS は 2 日でシステムを標準化し、市場の混乱を避けることができましたが、ハッカーに 1,100 万ドルを支払わなければなりませんでした。 従来のビジネスの注文、生産、配送、および請求プロセスがデジタル化されるにつれて、それらはハッカーによる攻撃の標的になりました。
一方、今年3月1日、世界最大の自動車メーカーであるトヨタ自動車は、日本の14の工場すべての操業を停止すると発表しました。 実際、トヨタの内外装材のサプライヤーである小島プレスは、ハッカーの攻撃を受けてコンピューター ネットワークが機能不全に陥り、トヨタとのデータ通信が困難になりました。 工場は一時的なネットワークを使用して 1 日以内に再起動されましたが、日本のメディアは、ハッカーの本当の標的はトヨタであると指摘しました。 彼らは、トヨタの強力なセキュリティシステムではなく、比較的脆弱なセキュリティシステムを持つパートナー企業を攻撃して、トヨタのサプライチェーンに損害を与えようとしたと言われています.
製造業は、昨年最も多くのサイバー攻撃を受けました。 実際、サイバーセキュリティは金融や情報技術 (IT) セクターに比べて比較的脆弱であり、最近のデジタルトランスフォーメーションとスマートファクトリーの導入により、ハッカーの攻撃対象領域が急速に増加しています。 韓国の製造会社はサイバー脅威から安全ですか? 3 月 5 日、サイバー犯罪組織 Rapsus が Samsung Electronics をハッキングし、190 GB のソース コードを盗みました。 彼らが盗んだコードの中には、Samsung の Knox セキュリティ プラットフォームに関連するソース コードが含まれていました。 Rapsus は、LG Electronics もハッキングされ、ホームページ上の従業員とサービスのユーザー アカウント情報を盗んだと主張しました。
また、韓国水力原子力発電、東南/西南/東西電力などの国有電力会社に対するハッキングの試みは、過去 5 年間で 900 件を超えたという。 主要な発電施設でのハッキングの試みは、韓国の電力供給ネットワークに大混乱をもたらす可能性があるため、国家安全保障の観点から注目されるべきです。
サプライ チェーンのサイバーセキュリティは、サプライ チェーンを安定した方法で機能させるために、サプライ チェーンを構成する企業のコンピュータ システム、ネットワーク、ソフトウェア アプリケーション、およびデータを潜在的なデジタル脅威から保護するプロセスです。
サイバー犯罪組織は、まずサプライ チェーン内の比較的安全でない「弱いリンク」を攻撃し、次にサプライ チェーン全体のシステムとネットワークを脅かします。 特に、トヨタのように、サイバーセキュリティのリソースや能力が不足している中小の請負業者は、多くのサイバー攻撃の標的になります。
韓国インターネット振興院 (KISA) によると、ランサムウェアによる国内企業への被害の 90% は中小企業 (SME) に集中しています。 サプライ チェーンのサイバー攻撃は、ソフトウェア サプライ チェーンで特に深刻です。 2020年に米国企業に衝撃を与えたSolarWindsのハッキング事件は、ロシアのハッキング組織がSolarWindsのソフトウェア更新コードに悪意のあるコードを挿入したソフトウェアサプライチェーン攻撃の代表例です。 ハッカーは、セキュリティの高い公的機関や大企業を直接攻撃するのではなく、セキュリティが比較的貧弱なソリューション プロバイダーを攻撃することで、米国政府機関やグローバル コングロマリットに間接的に侵入することができました。 多くのソフトウェアがさまざまなオープン ソース コードを使用しているため、ソフトウェアのサプライ チェーンを利用したサイバー攻撃はさらに増加すると予想されます。
あらゆる側面から広がるサプライ チェーンのサイバー攻撃にどのように対応しますか? ソーラーウィンズ、コロニアル パイプライン、JBS のハッキングを国家安全保障の問題として認識し、米国のジョー バイデン政権は昨年 5 月、連邦政府内でゼロ トラスト セキュリティ原則を実施するための大統領令を発行しました。 「誰も信用しない」という意味のゼロトラストは、ネットワークやデータへのアクセスを要求するユーザーやデバイスを決して信用しないというセキュリティ原則です。 何度か段階的な認証手続きを経た利用者であっても、最小限の領域でシステムを利用できるように権限を制限し、他の業務を行うためには再度手続きをしなければならない対応認証。 最終的に、ゼロトラストは、サイバー侵害が避けられない、またはすでに発生している可能性が高いという前提でシステムを運用する新しいセキュリティ パラダイムです。
ゼロ トラスト セキュリティをサプライ チェーンに適用するためには、中小サプライヤーのサイバーセキュリティ機能を構築することが急務です。 まず、中小規模のベンダーの CEO、幹部、従業員と定期的にセキュリティ ワークショップを開催し、サイバー脅威の状況、セキュリティのベスト プラクティス、最新のセキュリティ テクノロジーを積極的に共有する必要があります。 さらに、パートナー企業が脆弱性を監視し、サイバー攻撃を検出して対応できるセキュリティ プロセスを確立できるように、技術的および財政的支援を提供する必要があります。 パートナー企業の定期的な年次パフォーマンス評価にサイバーセキュリティ機能を含めることにより、継続的な改善のための環境を準備する必要があります。 ソフトウェア サプライ チェーン攻撃を抑止するには、米国政府が推進するソフトウェア部品表 (SBOM) システムを採用する必要があります。 さらに、ハッカーによるサイバー侵害が発生した場合の緊急対応計画をパートナー企業と共同で確立し、定期的にチェックおよびテストする必要があります。
サプライ チェーンのデジタル トランスフォーメーションは諸刃の剣です。 デジタル トランスフォーメーションは、リアルタイム サプライ チェーンの可視性、効率性、速度を向上させることができますが、同時に、サイバー攻撃の対象範囲を広げ、ハッキングのリスクを高めます。 賢明な管理者は、「サプライ チェーンはその最も弱い部分と同じくらい強力である」ことを認識し、ゼロ トラストへの移行とサプライヤーのサイバーセキュリティの強化に注力する必要があります。
[허대식 연세대학교 경영대학 교수]
「フリーランスのコミュニケーター。筋金入りのウェブ開業医。起業家。全学生。ビール忍者。」
