トヨタ自動車の取引先である金型設計のTMW社が自社サイトにて「セキュリティインシデントの発生を確認しました」という事実を公表しました。
TMW社のホームページより
詳細は発表されていませんが、同社を攻撃したハッカーが、盗んだ機密情報の5%を暴露すると発表したようです。
ハッカーが狙った情報はTMW社というより、トヨタ自動車に関するものといえます。
このように大手企業の取引先にサイバー攻撃を仕掛け、当該大手企業の情報を入手する手法をサプライチェーン攻撃といいます。
ではなぜ、大手企業を直接狙わず、回りくどく取引先を敢えて狙うのでしょうか?
それはセキュリティ対策がしっかりと取られている大企業よりも、対策面で劣る中小企業の方が狙いやすいからです。
実際トヨタ自動車ほどの企業であっても、その取引先や海外法人がターゲットとして狙われています。
このようなサプライチェーン攻撃は、トヨタ自動車に限らず、多くの国内企業でも起きていることです。
下記のグラフは今年1月に一般社団法人日本損害保険協会が公表した「中小企業の経営者のサイバーリスク意識調査2019」から抜粋したものです。
825人の中小企業経営者のうち、約2割にあたる155人が何らかのサイバー攻撃の被害に遭ったことがあると回答しています。
ハッカーは中小企業が取引している大企業の情報資産を狙ってサイバー攻撃を仕掛けてきます。
このような攻撃を受けた中小企業は、最悪の場合、取引の停止を宣告される可能性もあります。
元請けとなる大企業としても自社の情報資産を漏洩させないために、取引先に対しても相応なセキュリティ対策を求めることになります。
事実、セキュリティ監査を行う企業も多く、これは改正個人情報保護法でも当然に行うべきこととされています。
中小企業としても、今後はセキュリティ対策を進め、顧客・取引先から預かっている情報資産を防衛する必要があります。
このようなセキュリティ対策が取れない場合には、競合企業に淘汰されていくことになるでしょう。
ですが、すぐに大金を投じて高価なセキュリティ機器を導入する必要はありません。
もちろん技術的対策も必要ですので、ある程度の投資は必要です。
セキュリティ事故の6割ぐらいは、うっかりミス・事務ミスなどの人為的な事由によるものです。
まずはこのようなミスをなくすために、メールやWebサイト、社内で保管している情報資産の取り扱いなどの社内ルールをしっかり作り、併せて技術的対策の投資もしていく方が賢明です。
ひとつのルールを全従業員が遵守すれば、それだけで多くのセキュリティインシデントを未然に防げます。
まずは、会社として守るべき情報資産を洗い出し、予算と相談しながら、優先すべきルール・施策作りを検討するところから始めていきましょう!
【参考】
IPA「情報セキュリティ10大脅威 2020」
一般社団法人日本損害保険協会「中小企業の経営者のサイバーリスク意識調査2019」
