Last Updated on 2024-05-09 09:55 by 荒木 啓介
イギリス国防省(MoD)の外部委託業者であるShared Services Connected Ltdがサイバー攻撃を受け、22万5000人以上の現役、予備役、および退役のイギリス軍人の個人情報が漏洩した。この情報には、名前、銀行口座の詳細などが含まれている。国防大臣のGrant Shappsは、この攻撃が国家支援を受けた悪意のある行為者によるものである可能性が高いと述べたが、具体的な国名は挙げなかった。また、Shappsは外部委託業者がシステムの保護に十分な対策を講じていなかったと批判し、政府は業者のセキュリティ対策に関する特別なレビューを開始した。
この事件は、過去1年以内にイギリス軍に関連するデータが外部委託業者によって二度目に漏洩した事例である。昨年8月には、イギリス軍施設用のメッシュフェンシングサービスを提供するZaun社から約10GBのデータがLockBitランサムウェアギャングによって盗まれた。サプライチェーンのリスクが防衛セクターにおけるグローバルなセキュリティリスクとして浮き彫りになっている。
サイバーセキュリティの専門家は、軍事関連の外部委託業者が攻撃者にとって魅力的な標的であると指摘している。これらの組織はしばしば重要なセキュリティ対策を怠っており、ペンタゴンのサプライチェーン全体をリスクにさらしている。例えば、CyberSheathの研究では、防衛産業基盤の高い割合の契約者が基本的なサイバーセキュリティコントロールを持っていないことが明らかにされた。防衛およびその他の重要インフラセクターには、最低限のサイバーセキュリティ基準の実施を義務付ける規制が必要であるとの声もある。
【ニュース解説】
イギリス国防省(MoD)の外部委託業者であるShared Services Connected Ltdがサイバー攻撃を受け、22万5000人以上の現役、予備役、および退役のイギリス軍人の個人情報が漏洩した事件は、防衛セクターにおける第三者リスクの重大な問題を浮き彫りにしています。この情報には、名前や銀行口座の詳細などが含まれており、国防大臣のGrant Shappsは、この攻撃が国家支援を受けた悪意のある行為者によるものである可能性が高いと述べましたが、具体的な国名は挙げていません。また、Shappsは外部委託業者がシステムの保護に十分な対策を講じていなかったと批判し、政府は業者のセキュリティ対策に関する特別なレビューを開始しました。
この事件は、外部委託業者が防衛セクターにおけるセキュリティの弱点であることを示しています。サイバーセキュリティの専門家は、軍事関連の外部委託業者が攻撃者にとって魅力的な標的であると指摘しており、これらの組織が重要なセキュリティ対策を怠ることで、ペンタゴンのサプライチェーン全体がリスクにさらされています。例えば、CyberSheathの研究では、防衛産業基盤の高い割合の契約者が基本的なサイバーセキュリティコントロールを持っていないことが明らかにされました。
このような背景から、防衛およびその他の重要インフラセクターには、最低限のサイバーセキュリティ基準の実施を義務付ける規制が必要であるとの声が高まっています。サイバーセキュリティの専門家は、私企業が必要な投資を行わない限り、セキュリティ基準の強化が進まないと指摘しています。そのため、サイバーセキュリティ成熟度モデル認証(CMMC)のような規制を通じて、セキュリティ基準の強化を強制することが提案されています。
この事件は、サイバーセキュリティ対策の重要性を再認識させるとともに、防衛セクターにおけるサプライチェーンのリスク管理の強化が急務であることを示しています。また、外部委託業者に対する継続的なサイバーリスク評価の実施が、リスクの転嫁を防ぐためにも重要であるという認識が広がっています。このような取り組みを通じて、防衛セクター全体のセキュリティレベルの向上が期待されます。
from UK Military Data Breach a Reminder of Third-Party Risk in Defense Sector.
