ニュース

スター・ウォーズのファンなら、オーダー66をご存知でしょう。クローンの脳には、行動を制御し、命令を挿入するためのチップが埋め込まれました。このチップには、ジェダイを抹殺せよという命令であるオーダー66が含まれていました。ジェダイはクローン軍団を編成するためにカミーノアンを雇いましたが、皇帝パルパティーンは権力を利用してチップ内の命令を操作し、将来の利益を図りました。これは、ハードウェアを施設やその他の機器に設置するずっと前から保護する必要がある理由を示す例です。

ガートナーによると、2019年にはスマート製品の65%が「ハッキング可能」でした。例えば、2015年にある玩具メーカーがインタラクティブドールを発売しましたが、これが攻撃に対して脆弱であることが判明しました。サイバーセキュリティブログシリーズで議論してきたように、近年の有名な攻撃は、物理的なアクセスよりもデジタルアクセスの方が容易であるため、ソフトウェアレベルとネットワークレベルに重点を置いています。しかし、ハードウェア攻撃も珍しくなく、その影響は企業にとって壊滅的な打撃となる可能性があることも明らかになっています。

さらに、私たちのブログでは、ハードウェアレベルから企業を保護するために活用できる戦略、テクノロジー、ベストプラクティスについて議論してきました。しかしながら、サプライチェーンにおけるハードウェアの保護方法についてはまだ議論していません。

上で述べたように、物理的にアクセスすることは困難ですが不可能ではありません。時には、皇帝パルパティーンとクローン軍のように、ハードウェアの製造中に改ざんし、後で脆弱性を悪用することになります。

一見、これはファンフィクションから生まれた突飛な陰謀論のように思えるかもしれません。しかし、ハードウェア攻撃は事業運営を混乱させ、多大な経済的損失、物理的な損害、企業の評判の失墜など、壊滅的な結果をもたらす可能性があることを覚えておいてください。

サプライチェーンにおけるセキュリティ上の課題は何ですか?

企業が自動化やデジタル戦略を導入するにつれ、攻撃対象領域と脆弱性リスクも増大します。その結果、データとITインフラ（アプリケーション、サーバー、ネットワーク、顧客データ、サプライヤーデータ、部品表、輸送管理システム）の保護は、長年にわたりサプライチェーン情報保護における主要な優先事項となっています。しかし、インターネットに接続できる製品や「スマート」とみなされる製品の数が増え続けているにもかかわらず、製品の保護は優先事項として捉えられてきませんでした。

これらの「スマート」製品には通常、組み込みコード、ロジックを内蔵するコンポーネント、またはマイクロコントローラーが搭載されています。かつては、サプライチェーンにおける製品保護の課題に取り組んでいるのはハイテク企業のみでした。しかし、今日では、輸送、ヘルスケア、そして消費者向け製品がますますスマート化しており、それらを保護する必要性が高まっています。

サプライチェーンの保護における関連する課題は、運用のためのテクノロジーです。エッジコンピューティングとIoTによって、ユーザーにより近い場所でコンピューティングを体験できるようになるにつれ、新たな脆弱性が生じています。製造・物流に使用される機器は、少なくともパフォーマンスを監視し、問題を予測するために、現在では社内ネットワークに接続されていることが一般的です。これらの機器をインターネットに接続することによる潜在的な脅威と、監視ソフトウェアやハードウェアの導入による生産性向上の両方を分析することが重要です。

IT、運用技術、製品の保護という課題が顕在化する中、ガバナンスが課題となっています。多くの企業では、各部門がそれぞれの担当分野を担当しており、企業全体、そして包括的にセキュリティに配慮する部門横断的なチームが不足しています。その結果、IT、エンジニアリング、研究開発、施設、運用の各部門が、それぞれの責任範囲内で脆弱性の解決に追われ、製品の保護がおろそかになっています。実際、一般的にIT部門はデータとITインフラストラクチャ、そして運用を担当しています。企業によっては、ITチームと別にOT/IoT/物理技術のセキュリティを担当する運用チームが存在する場合もあります。また、ITグループ傘下のセキュリティグループが存在する企業もあります。

攻撃の増加とその拡散速度、そしてイノベーションへの取り組みと通常業務のバランスを取るための絶え間ない努力を考えると、これは特に困難な問題です。サプライチェーン組織は、これまで以上に、セキュリティが自らの責任の一つであることを認識する必要があります。さらに、組織全体が連携して、差し迫った脅威や攻撃に対応しながら、製品を総合的に保護する必要があります。

スマート製品のハードウェアの保護

オーダー66の例のように、攻撃の背後にある動機は、ハードウェアを改ざんして業務を妨害し、金銭的損失、評判の失墜、事業の混乱などを引き起こすことにある可能性があります。しかし、偽造品や設計情報の窃取を目的とした攻撃もあり、市場参入を先取りすることで、事業の衰退や莫大な売上損失につながる可能性があります。

ハードウェアのセキュリティリスクは、初期設計から製造、リサイクル、廃棄に至るまで、ライフサイクル全体にわたって存在します。最先端の集積回路は複雑であるため、単一の企業でチップの設計、製造、テストを行うことは不可能です。その結果、チップ製造は多国籍企業による付加価値チェーンへと移行しています。

パンデミックが始まる前から、企業は高度で安価な電子製品を求める圧力にさらされていました。その結果、ハードウェアのアウトソーシングがかつてないほど増加しました。現在も、渡航制限や事業の混乱による部品不足の影響は続いており、電子システムを開発する企業は、需要への対応、リードタイムの​​短縮、価格引き下げのために、正規サプライヤーではなく、仲介業者やサードパーティサプライヤーと提携しています。こうした慣行のリスクは、規格外、リサイクル、あるいはクローン化された偽造チップを入手することです（皮肉なことですが）。これらの偽造チップは、後に機密性の高いシステムや重要なシステムに搭載され、攻撃の脆弱性を生じさせる可能性があります（まるでスターウォーズのように）。

ハードウェアサプライチェーンの脆弱性を軽減するための推奨事項

最も重要な推奨事項は、製品セキュリティを組織全体の優先事項として捉えることです。運用、IT、研究開発、マーケティング、広報、人事など、部門横断的なチームが連携し、製品ライフサイクル全体における脆弱性を特定し、解決できるよう、障壁を排除しましょう。

また、拡張されたサプライ チェーンが、設計段階から廃止や廃棄に至るまで、すべての製品、特に「スマート」製品の効率、コスト、サービス、品質、セキュリティの要件を満たすことができることを保証する必要があります。

災害復旧計画と事業継続性評価を策定し、実施しましょう。パンデミックのような外的要因や天災によって、事業戦略やニーズが急激に変化する可能性があることを忘れてはなりません。物流やサプライチェーンの状況変化に迅速に対応するための方法、そして潜在的な脅威や脆弱性に関する情報を少なくとも収集しておきましょう。ベンダーのリスク評価と管理も事業継続計画に組み込むべきです。そうすれば、通常利用しているプロバイダーのリードタイムを待てない場合に備えて、事前に承認された安全な代替手段を確保しておくことができます。最後に、これらの計画と評価はすべて、業界標準に準拠していることを確認してください。業界標準は、作業範囲と期間に関する有用な指針となることが多いからです。

ハードウェアOEMがハードウェアレベルからセキュリティ強化にどのように貢献できるかについて詳しく知りたい方は、 こちらのブログをご覧ください。また、サイバーセキュリティブログシリーズも引き続きご覧ください。