サプライチェーン攻撃:組織にとってライフサイクルのすべてのステージにおいてデータサニタイズが必要な理由

IT チームは、組織の IT インフラを外部の攻撃から保護するため、サードパーティーのサプライヤーやベンダー、パートナー含め信頼できる事業者が提供するソフトウェアやハードウェアを検討する必要があります。これは、USB など持ち運び可能なストレージデバイスに特に当てはまります。ここでは安全なデータ消去がどのように役立つかを紹介します。

Matt Philpotts Matt oversees Blancco’s visual brand across its five websites, extensive marketing collateral, and numerous live and virtual events. A veteran of both B2B and B2C marketing teams, he has ably supported the company’s web and graphic design needs since early 2020, including playing a pivotal role in the relaunch of the Blancco website in August 2021.

サイバーセキュリティの脅威の多くは、ネットワークの脆弱性にフォーカスしているようですが、実際には、サプライチェーン全体が、これらの攻撃に対して脆弱です。

ハードウェア、ソフトウェア、ヒューマンエラー、およびサードパーティベンダーはすべて、重要なデータにアクセスしようとするサイバー犯罪者の主要な標的なのです。購買ネットワークにアクセスすることを目的とした不正なハードウェアまたはソフトウェアによって製造プロセスが中断すると、問題が発生します。これらのサプライチェーン攻撃は、製造業者や再販業者によって検出されない可能性があり、組織の購買担当者が問題のある材料を調達してしまうと、販売者は信頼を損ねるリスクがあります。

COVID-19 の対応は、通常の製造プロセスを混乱させるだけでなく、製造業界におけるサイバーセキュリティの脆弱性も増加させました。ただし、これはサプライチェーンの攻撃の増加にもとづくものです。シマンテック社による2019年のレポートによると、サプライチェーンに対するソフトウェアの攻撃は2018年だけで78％増加しました。

ハードウェア調達におけるサプライチェーンセキュリティの重要性

悪意のある IT 資産が組織のネットワーク内に設置されるのを防ぐために、請負事業者は、ハードウェアを組織のシステムに統合する際に、厳格なセキュリティ基準に従わなければなりません。そして、調達した IT 資産はすべて詳細なレビューが必要となります。

2019年のブログ「サプライチェーン攻撃からの保護-パート1：全体像」で、マイクロソフト社の著者は、サプライチェーンに脆弱性をインサートする論理的な場所のひとつとしてハードウェアコンポーネントの攻撃を挙げています。組織はサードパーティー事業者の内部プロセスをコントロールできないため、外部のサプライヤーやサービスプロバイダーがサプライチェーンセキュリティにおいて新たな課題となっています。さらに、コンピューターハードウェアへの脆弱なファームウェアのインストールは、信頼できるベンダーとエンドユーザーの両方に新たなリスクをもたらすでしょう。

スキャン以上の施策: サプライチェーン攻撃の対策として NIST が推奨する IT 資産のサニタイズ

サーバー、ポータブルストレージデバイス、リムーバブルメディアなど、ハードウェアを調達する際、「信頼するが検証する」が常に標準である必要があります。これは、セキュリティプロトコルとベンダーの関係について製造業者に確認するだけでなく、攻撃された場合でも大きな被害をもたらす可能性のあるエンタープライズシステムとコンポーネントを特定することを意味します。

それでも、ハードウェアの問題を検出するのは難しいことがあります。

多くの組織が IT 資産のサポート終了時にデータサニタイズを実施していますが、非破壊的な IT 資産のサニタイズは新しい資産にとって重要な役割を果たすことになります。米国国立標準技術研究所が発行する最新バージョンの NIST Special Publication 800-53「情報システムと組織のセキュリティとプライバシー管理」は、米国連邦政府だけでなくすべての組織に必要となります。リビジョン 5 の最新ドラフト（2020年3月）では、サプライチェーンの脆弱性から保護するために、調達時からアクティブなライフサイクル全体でデータストレージデバイスをサニタイズすることを組織に推奨しています。

持ち運び可能なストレージデバイスには、外付けまたはリムーバブルハードディスクドライブ（SSD、磁気HDD）、光ディスク、磁気または光テープ、フラッシュメモリデバイス、フラッシュメモリカード、およびその他の外付けディスクまたはリムーバブルディスクが含まれます。持ち運び可能なストレージデバイスは、信頼できないソースからでも入手することができ、悪意のあるコードが、USB ポートまたは他のエントリーポータルを経由して組織のシステムに挿入され送られてしまうことがあります。ストレージデバイスをスキャンすることを推奨しますが、サニタイズにより、そのようなデバイスに悪意のあるコードがないことがさらに保証されます。組織がデバイスを最初に使用する前に、メーカーまたはベンダーから調達した場合、または組織がデバイスの管理工程を詳細に把握できない場合、持ち運び可能なストレージデバイスに対する非破壊のサニタイズを検討すべきです。

同様に、マルウェアはさまざまなハードウェアに混入する可能性があるため、データのサニタイズとセキュリティのプロシージャは、新しい IT デバイスを利用する際は常に適用しなければなりません。例えば、FBI は2020年4月に、COVID-19 パンデミックの期間に、医療業界のハードウェアとソフトウェアを標的とする Kwampirs マルウェアの警戒を促しました。2019年、低価格の携帯電話にはマルウェアがプリインストールされていました。

組織は、デバイスの出所につても注意する必要があります。データ保護ポリシーでは、必要なインストールの前のデバイスのサニタイズを推奨しています。

データサニタイズ: サプライチェーンセキュリティにおける主要なコンポーネント

組織の IT インフラをすべてのサイバー脅威から完全に保護する方法はありません。ただし、IT 資産ライフサイクルのはじめから新しいデバイスをサニタイズすることは、ネットワークと機密データをサプライチェーン攻撃から保護するためのベストプラクティスです。

安全なデータ消去は、ソフトウェアベースのサニタイズプロセスであり、デバイスを破壊することなく使用可能なままで、デバイスからすべてのデータを消去します。また、データサニタイズの実施を証明する検証と改ざん防止の証明書も提供します。

あなたができること

テクノロジーサプライチェーンへの攻撃が増加する傾向に対処するには、すべてのデータストレージデバイスをシステムに接続する前に完全にサニタイズします。データ消去ソリューションピッカーから、組織とデバイスに最適な非破壊サニタイズソリューションを選び、お客様の環境でお試しできる無料のデータ消去トライアルにお申し込みください。