トップ > サイバーセキュリティ > 閉域網は安全という神話の崩壊:SWIFT事件に学ぶサプライチェーンリスク対策の神髄【CISSPが徹底解説】

閉域網は安全という神話の崩壊:SWIFT事件に学ぶサプライチェーンリスク対策の神髄【CISSPが徹底解説】

サイバーセキュリティ 最新動向分析
プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

閉域網のサプライチェーンリスクとその対策

こんにちは。東証プライム上場企業で情報システム部のセキュリティ担当をしている城咲子です。CISSPと登録セキスペの資格を持っています。

「うちは閉域網だからセキュリティは万全だ」

情シスの現場にいると、今でも時々、このような声を耳にすることがあります。しかし、その「安全神話」、もはや危険な幻想でしかないと私は断言します。

今回は、この幻想を打ち砕いた象徴的な事件である「SWIFTサイバーハイスト」をケーススタディとして、現代のサイバーセキュリティにおける最大の課題の一つであるサプライチェーンリスクの本質と、私たちが取るべき対策について、徹底的に解説していきます。

これは遠い国の金融機関の話ではありません。あなたの会社の、明日の話かもしれないのです。

第1章 まるでスパイ映画、しかしこれは現実。SWIFT事件の恐るべき手口

ケーススタディ:SWIFT事件の攻撃フロー

2016年2月、バングラデシュ中央銀行が不正送金により約8,100万ドル(当時のレートで約90億円以上)もの大金を盗まれるという衝撃的な事件が発生しました。これは、単なるハッキングではなく、組織の業務プロセスそのものを乗っ取った、社会工学的な傑作ともいえる攻撃でした。

攻撃の起点:たった1通の「求職者メール」

攻撃の始まりは、職員が受信した求職者を装うスピアフィッシングメールでした。添付された履歴書ファイルを開いたことでマルウェアに感染し、攻撃者は内部ネットワークへの侵入口を確保します。

ここからが彼らの真骨頂です。攻撃者は数ヶ月にわたりネットワーク内に潜伏し、正規のSWIFT(国際銀行間通信協会)認証情報を窃取。そして、銀行自身になりすまし、ニューヨーク連邦準備銀行に対して総額約9億5,100万ドルにも上る不正な送金指示を次々と発行したのです。

神話の崩壊:狙われたのは「最も弱い輪」

私がこの事件で最も注目すべきだと考えているのは、その巧妙な証拠隠滅の手口です。

  • 不正送金のデータベース記録を改ざん
  • 取引履歴のPDFを操作して隠蔽
  • 取引記録を印刷するプリンターを物理的に無効化

特に最後のプリンターの無効化には、背筋が寒くなる思いがします。これは攻撃者が、単に技術的な脆弱性を突いただけではないことを示しています。彼らは、銀行員が「毎日プリンターから出てくる取引記録を目で見て確認する」という、極めてアナログな業務フロー、つまり人間系の監査プロセスまで完全に把握し、それを無力化するマルウェアを用意周到に準備していたのです。

さらに、不正送金はバングラデシュの週末(金・土)が始まる直前に実行され、時差を利用して関係機関の対応を遅らせるなど、計画は緻密を極めました。

そして最も重要な点は、侵害されたのはSWIFTの堅牢なコアネットワークそのものではなかった、という事実です。狙われたのは、SWIFTネットワークに接続していたバングラデシュ銀行のローカル環境、つまりファイアウォールも設定されていないような、セキュリティ対策が不十分な末端のサーバーやPCでした。

閉域網という「城」の中心部がどれだけ強固でも、城壁の片隅にある小さな、鍵のかかっていない通用口から侵入されてしまえば、何の意味もなさないのです。

第2章 あなたの会社は大丈夫?サプライチェーンリスクという新たな戦場

サプライチェーンの最も脆弱な環

SWIFT事件は、セキュリティの「境界線」が、もはや自社のネットワーク内だけではないことを私たちに突きつけました。真の境界線は、ソフトウェアベンダー、クラウドサービス、業務委託先、そしてそこで働く「人」を含む、広大なサプライチェーン全体にまで広がっています。

「信頼」という名の脆弱性

私たちは日常業務で、様々なサードパーティ製のソフトウェアやサービスを「信頼して」利用しています。しかし、その信頼そのものが、攻撃者にとっては格好の侵入経路となり得るのです。

サプライチェーンを介した攻撃は、大きく3つに分類できます。

  1. ソフトウェアサプライチェーン

    • 侵害されたアップデート: 正規のソフトウェアアップデートに悪意のあるコードが混入される。2020年に世界を震撼させたSolarWinds事件が典型です。
    • オープンソースの脆弱性: 広く使われているオープンソースライブラリに脆弱性が発見される(例: Log4j)。自分たちが直接使っていなくても、利用しているソフトウェアが依存しているケースがほとんどです。

  2. サードパーティ/ベンダーリスク

    • 侵害されたサービスプロバイダー: 業務を委託しているMSP(マネージドサービスプロバイダー)などが攻撃され、そこを踏み台に自社が攻撃される。
    • アウトソーシングリスク: 十分なセキュリティ監督なしに基幹業務を外部委託すること自体がリスクになります。

  3. 人的要素

    • ソーシャルエンジニアリング: 今も昔も、フィッシングメールは攻撃の王道です。
    • インサイダー脅威: 悪意ある内部犯だけでなく、セキュリティ意識の低い従業員の過失も大きな脅威です。

Gartner社は、2025年までに世界の組織の45%がソフトウェアサプライチェーンへの攻撃を経験すると予測しています。これはもはや対岸の火事ではありません。

第3章 "信じない"ことから始めるセキュリティ。「ゼロトラスト」という処方箋

「閉域網だから」「信頼できるベンダーだから」――。そんな「暗黙の信頼」に基づいた性善説のセキュリティモデルは、もはや通用しません。

これからの時代に必須となる考え方が「ゼロトラスト」です。

基本原則は「決して信頼せず、常に検証せよ」

ゼロトラストは特定の製品や技術のことではなく、「ネットワークの内外を問わず、すべてのアクセスを信頼できないものとみなし、その都度厳格に検証する」という設計思想です。

私の信条の一つに「何ごとも段取りと準備がすべて」という言葉がありますが、ゼロトラストはまさにその考え方を体現したアーキテクチャと言えます。「きっと大丈夫だろう」という希望的観測を捨て、「もし攻撃者がすでに内部にいたら?」という性悪説を前提に、段取りと準備を組み立てるのです。

ゼロトラストを実現するための主要な技術要素には、以下のようなものがあります。

  • ZTNA (Zero Trust Network Access): 従来のVPNに代わる技術。ユーザーとデバイスの正当性を都度検証し、許可されたアプリケーションへのアクセスだけを許可します。これにより、攻撃者の横方向への移動(ラテラルムーブメント)を防ぎます。

  • マイクロセグメンテーション: ネットワークを船の防水隔壁のように細かく分割する技術です。万が一、一つの区画が侵害されても、被害をその区画内に封じ込め、システム全体への延焼を防ぎます。

  • SBOM (Software Bill of Materials / ソフトウェア部品表): ソフトウェアがどのような部品(オープンソースライブラリ等)で構成されているかをリスト化したものです。食品の成分表示のように、ソフトウェアの中身を「見える化」することで、脆弱な部品が使われていないかを迅速に確認できます。

鍵を握るのは「人と文化」の変革

しかし、どんなに優れた技術を導入しても、それを使う「人」や「組織文化」が変わらなければ意味がありません。私のもう一つの信条は「自分が動くのではなくルールを変えて人と組織を動かす」です。セキュリティも、担当者だけが頑張るのではなく、全員参加の文化を醸成することが不可欠です。

  • DevSecOps: 開発(Dev)、セキュリティ(Sec)、運用(Ops)が一体となり、開発の初期段階からセキュリティを組み込むアプローチです。属人性を排除し、仕組みとしてセキュリティを担保する上で極めて重要です。

  • セキュリティチャンピオン・プログラム: 各部署にセキュリティの推進役となる「チャンピオン」を育成する制度です。私たちセキュリティ部門と現場の橋渡し役となり、組織全体のセキュリティ意識を底上げしてくれます。

第4.章 明日から何をすべきか?組織の成熟度別アクションプラン

具体的な対策の提言

「言うは易く行うは難し」ですよね。特にゼロトラストへの移行は壮大なプロジェクトです。そこで、現実的なステップとして、組織の成熟度に応じた3段階のアクションプランを提案します。

第1段階(基礎固め:~12ヶ月)

まずは基本的な衛生管理(サイバーハイジーン)と、自社の状況を把握する「可視化」に集中します。

  • アクション: 利用しているすべてのサードパーティ製ソフトウェアとサービスをリスト化し、リスク評価を実施する。
  • アクション: すべての重要なサーバーやPCにEDR (Endpoint Detection and Response) を導入する。
  • アクション: まずは一つの重要なアプリケーションからでも良いので、SBOMの生成を試みる。

第2段階(アーキテクチャ変革:12~36ヶ月)

ゼロトラストの思想に基づいたアーキテクチャへの再設計に着手します。

  • アクション: ゼロトラストへの移行ロードマップを策定する。
  • アクション: リモートアクセスを従来のVPNからZTNAへ置き換えるパイロットプロジェクトを開始する。
  • アクション: DevSecOps文化の醸成のため、セキュリティチャンピオン・プログラムを導入する。

第3段階(レジリエンスの実現:36ヶ月~)

自動化と継続的な改善プロセスを文化として定着させます。

  • アクション: ZTNA/SASEアーキテクチャを全社展開する。
  • アクション: AIを活用した脅威検知やインシデント対応の自動化(SOAR)を実現する。
  • アクション: 定期的にレッドチーム演習(攻撃者視点での侵入テスト)を実施し、防御能力を継続的に検証・改善する。

まとめ:セキュリティ担当者の戦いは、まだ終わらない

結論:孤立から強調へ、新たなセキュリティパラダイム SWIFT事件が私たちに突きつけたのは、「信頼」を前提としたエコシステムそのものの脆弱性でした。

デジタルトランスフォーメーションが加速し、あらゆるものが繋がる現代において、サプライチェーンはもはや「アキレス腱」ではなく、サイバーセキュリティの「主戦場」です。

未来のセキュリティとは、すべての侵害を完璧に防ぐことではありません。万が一の事態が発生した際に、被害を最小限に食い止め、迅速に復旧し、その経験から学び、以前よりもさらに強くなること。そのしなやかな強さ(レジリエンス)こそが、今、すべての組織に求められています。

セキュリティ担当者の仕事は、終わりなき戦いです。ですが、正しい知識と戦略、そして組織全体の協力があれば、この複雑なリスクの海を航海していくことは可能です。この記事が、そのための「羅針盤」となれば幸いです。

FAQ

Q. 閉域網なのに、なぜ攻撃されるのですか?
A. 攻撃者は閉域網のコアシステムを直接狙うとは限りません。閉域網に接続されているセキュリティ対策の甘い末端のPCやサーバー、あるいは信頼されているサードパーティ製のソフトウェアを経由して侵入します。SWIFT事件はその後者の典型例です。ネットワークが物理的に隔離されていても、人やモノの出入りがある限り、リスクはゼロにはなりません。

Q. 中小企業なので、うちが狙われることはないですよね?
A. それは大きな誤解です。攻撃者は、セキュリティ対策が手薄になりがちな中小企業を、大企業へ侵入するための「踏み台」として狙うことが非常に多いです。サプライチェーンの一員である以上、規模に関わらず、すべての企業が攻撃対象となり得ます。政府や業界団体が提供する安価な支援サービスなどを活用し、できることから対策を始めることが重要です。

Q. ゼロトラストの導入には、莫大なコストがかかるのではないですか?
A. 一度にすべてを導入しようとすれば、確かに大きな投資が必要です。しかし、本記事で示したように、段階的なアプローチが可能です。まずは既存のセキュリティ製品の買い替えのタイミングでゼロトラストの思想に合った製品を選んだり、最もリスクの高い領域からパイロット的に導入したりするなど、計画的に進めることでコストを最適化できます。