【問188】個人情報保護士 練習問題|情報セキュリティの脅威の概要
情報セキュリティ 問8/120難易度C(難しい)
問題文
サプライチェーン攻撃に関する次の記述のうち、最も適切なものはどれか。
- 1.サプライチェーン攻撃は大企業のみを標的とし、中小企業には影響しない
- 2.サプライチェーン攻撃ではソフトウェアの更新プログラムに不正コードを混入させる手法が用いられることがある
- 3.サプライチェーン攻撃はサプライチェーン上の物流のみを対象とした物理的な攻撃である
- 4.サプライチェーン攻撃への対策は自社のセキュリティ対策のみで十分であり、取引先の管理は不要である
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
サプライチェーン攻撃はむしろセキュリティ対策が手薄な中小企業を踏み台にして大企業を攻撃する手法が多く、中小企業も標的となります。
選択肢2 → ✅正解
サプライチェーン攻撃の一種として、正規のソフトウェア更新プログラムやライブラリに不正なコードを混入させるソフトウェアサプライチェーン攻撃があります。SolarWinds事件などが代表例です。
選択肢3 → ❌誤り
サプライチェーン攻撃は物流の攻撃ではなく、取引先や委託先を経由したサイバー攻撃です。ソフトウェア供給網や業務委託関係を悪用します。
選択肢4 → ❌誤り
サプライチェーン攻撃への対策には、自社だけでなく取引先や委託先のセキュリティ水準の確認・管理が不可欠です。
背景知識
サプライチェーン攻撃はIPAの情報セキュリティ10大脅威において組織向け脅威の上位に位置しています。攻撃者は直接標的を攻撃するのではなく、セキュリティが比較的脆弱な取引先や委託先、あるいはソフトウェアの供給網を経由して侵入します。2024年以降もオープンソースソフトウェアへの不正コード混入事例が複数報告されており、ソフトウェア部品表(SBOM)の管理や委託先のセキュリティ監査の重要性が高まっています。
学習アドバイス
サプライチェーン攻撃は「自社だけでなくサプライチェーン全体でのセキュリティ確保が必要」という点がポイントです。委託先管理との関連も押さえましょう。
まとめ
- サプライチェーン攻撃は取引先やソフトウェア供給網を経由した攻撃
- 中小企業も踏み台として標的になりうる
- 取引先のセキュリティ管理とSBOMの整備が重要