米国国立標準技術研究所(NIST)は、サイバー攻撃に対するガイダンスの更新版を発表しました。
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161r1.pdf
2020年以降、NISTは企業がサプライチェーン攻撃からよりよく身を守る方法について、2つのドラフト文書を発表しています。
大統領令14028: Improving the Nation’s Cybersecurityを受け、NISTはサプライチェーンのサイバーセキュリティリスクを特定し対応するためのガイダンスとなる「システムと組織のためのサイバーセキュリティサプライチェーンリスク管理 (‘Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations)」を発表しました。
サプライチェーンサイバーセキュリティを管理することは、今後ますます必要とされることです。
この文書は326ページと長いものですが、ソフトウェア/製品の開発における評価から、外部のITサービス・プロバイダーの使用に伴うリスクまで、サプライチェーンのリスクに関する貴重な情報が含まれています。
組織は、自分たちが購入し使用しているものが信頼に足るものであることを、より確実にする必要があります。
この新しいガイダンスは、どのようなリスクに目を向けるべきか、それに対してどのような対応を検討すべきかを理解するのに役立ちます。
サプライチェーン攻撃は、単一の製品を攻撃することで、それを利用する多数の企業に影響を与えることができるため、攻撃者のターゲットとしてますます人気が高まっている攻撃手法です。
サプライチェーン攻撃の例としては、攻撃者がSolarWindsを侵害しエンドユーザへ攻撃を行った事件やKaseyaのMSPソフトウェアが1000社以上を暗号化するために使われた時などが挙げられます。
コメント