日経ビジネス電子版 Special
CYBER INITIATIVE TOKYO 2021 / サイバーイニシアチブ東京2021レビュー CYBER INITIATIVE TOKYO 2021 / サイバーイニシアチブ東京2021レビュー

トレンドマイクロ

講演タイトル

グローバルサプライチェーンを脅かすソフトウェア由来のセキュリティ・リスクへの対処法とは

ゼロデイ攻撃は脅威インテリジェンス活用で対峙せよ

芳澤邦彦氏

清水 智

トレンドマイクロ 執行役員

日本地域CISO

サイバー犯罪捜査・調査ナレッジフォーラム

代表理事

日本サイバー犯罪対策センター(JC3)理事

米中対立の長期化で顕在化した地政学リスクの1つに、グローバルサプライチェーンの脆さがある。1カ所でも障害が発生すれば、その影響は全世界に及ぶ。

トレンドマイクロの清水智氏は、「サプライチェーン攻撃では、最終的なターゲットが利用するソフトウエアの脆弱性を悪用する。ソフトウエアの安全性を担保する適切な対応が必要だが、気にする企業は少ない」と警鐘を鳴らす。

清水氏は企業が実施すべき対策として、ベースラインとなるセキュリティマネジメントのPDCAサイクルの回し方について、脅威インテリジェンスを活用して内部・外部の状況を分析してセキュリティ戦略上のプライオリティを付けていくことを挙げる。しかしながら脅威の変化に適時対応するためにはPDCAから一歩進み、OODAループでリスクのあるソフトウエアを把握し、脆弱性の確認と対応の有無を判断する必要がある」と説いた。

ソフトウエアを狙った攻撃でもっとも注意すべきは「ゼロデイ攻撃」だ。これは修正プログラムが公開されていない脆弱性を悪用する。ゼロデイ攻撃への対処法はいち早く脆弱性を発見し、開発元に通知すること。もし、悪意のある発見者に先を越されれば、脆弱性情報は攻撃プログラム開発者に売り渡されてしまう。

攻撃者と対峙すべく、同社では脆弱性発見コミュニティとして「Zero Day Initiative(ZDI)」を運営している。ZDIは2020年に新たに発見された脆弱性のうち60.5%を報告したベンダーニュートラルな世界規模の脆弱性発見コミュニティだ。

ZDIを統括するブライアン・ゴーレンク氏は、「ゼロデイ攻撃は増加の一途。ソフトウエア由来のサプライチェーンリスクに対応するには、脆弱性リスクの可視化によりタイムリーな対策を行うことで、ゼロデイ攻撃の可能性を低減させることだ」と力説した。