流通BMS/EDI
2020.07.20

急増する「サプライチェーン攻撃」で取引停止の危機 セキュリティ対策に有効な電子証明書で万全の対策を

キヤノンITソリューションズ
ITインフラソリューション事業部
EDIソリューション営業本部
企画部 企画課 課長
花澤 健二 氏

企画部 企画課
草 真琴 氏


 INS回線の終息に向けてインターネットEDIへの切り替えが加速しているが、インターネット化に向けてクローズアップされているのがセキュリティ対策だ。特に最近はサプライチェーンの弱点を狙った「サプライチェーン攻撃」が急増中だ。これはセキュリティ対策の甘い取引先をターゲットにサイバー攻撃を行い、そこを踏み台にして本命の企業に侵入するという攻撃のこと。攻撃を受けて取引停止のような非常事態に陥ることを避けるためにはどうしたらいいか。電子証明書を用いたJX手順クライアントソフト「EDI-Master B2B for JX-Client」を提供するキヤノンITソリューションズ(以下、キヤノンITS)に話を聞いた。

 


流通事業者をターゲットとするサイバー攻撃が急増

 

 INS回線が終息する24年1月まであと3年半に迫り、インターネットEDIへ移行を急ピッチで進めている流通事業者は多いだろう。しかし、2020年初頭に突如発生した新型コロナウイルスの影響によって多くの企業は活動の縮小に追い込まれ、移行に向けた検証作業にも遅れが出ている。現時点で、新型コロナウイルスの感染が終息するまでの見通しもはっきりせず、迫り来るタイムリミットに焦りは募るばかりだ。


 一方、新型コロナウイルス感染症対策として多くの企業にテレワークが普及したことにより、企業はインターネットセキュリティに注意を向けるようになった。インターネットに接続して仕事をする限り、マルウェア感染や外部からの不正攻撃などによる被害とは常に隣り合わせの状況にあり、情報漏えい対策が避けられないからだ。

 

 特に近年、流通業界全体で大きな脅威となっているのが「サプライチェーン攻撃」だ。耳慣れない言葉だが、サプライチェーン攻撃とは、文字どおりサプライチェーンの仕組みを悪用したサイバー攻撃のことで、グループ会社、業務委託先、発注先、仕入れ先などを攻撃し、それを足がかりにターゲット企業に侵入する行為を指す。サイバー攻撃を仕掛ける側は、大手の流通事業者から機密情報を盗み出したり、データを人質に身代金を要求したりしたいわけだが、セキュリティ対策が強固な大手企業は外部からの侵入が難しくなっている。そこでセキュリティ対策に意識の薄い周囲の企業にサイバー攻撃を仕掛け、そこを踏み台に本命の企業に侵入を図ろうとするのがサプライチェーン攻撃だ。

 

 実際、独立行政法人情報処理推進機構(IPA)が毎年公開している「情報セキュリティ10大脅威」においても、「サプライチェーンの弱点を悪用した攻撃」が2019年と2020年の2年連続で組織編の4位にランクインしている。大阪商工会議所が2019年7月に発表した「中小企業に対するサイバー攻撃実情調査」でも、調査対象の中小企業30社すべてが何らかの攻撃にさらされた経験があることを報告している。


 花澤氏は「サプライチェーン攻撃の目的は中小企業そのものではなく、取引相手である大手企業であるため、結果的に被害は取引先に及びます。こうした被害が発生した場合の対処について、2019年に大阪商工会議所が実施した調査では、取引先企業に対して47%が損害賠償を請求する、29%が取引を停止するなどの厳しい措置を取る意向を示しており、中小の流通事業者にとって大切な取引先を失う深刻な事態にもなりかねません」と語る。

 こうした攻撃を未然に防ぐのに有効なのが、なりすまし防止のためクライアント認証(電子証明書)を導入することだ。キヤノンITSでは、流通BMS対応クライアント証明書の自動取得・更新が可能なEDIクライアントソフト「EDI-Master B2B for JX-Client」(以下、JX-Client)を提供し、そのニーズに応えている。

 

 草氏は「JX-Clientは、流通BMSで最も普及しているJX手順(クライアント型)に対応したEDIソフトです。株式会社インテックの発行する流通BMS専用のクライアント証明書をセットで販売することが可能であるため、どの証明書を購入したらよいかといったことで迷うことはありません。流通BMSに対応した小売企業との接続で多数利用されている実績があり、新たに流通BMSへ対応する際も安心してお使いいただけます」と説明する。


電子証明書の自動取得によりEDIソフトへの導入負荷を大幅に軽減

 

 ここで改めて電子証明書について振り返っておこう。電子証明書とは、データ改ざん防止のために利用する電子的な身分証明書のことだ。一般的にEDIの暗号化通信の認証方式には、「パスワード認証」と「電子証明書による認証」の2種類がある。パスワード認証は手軽に導入できる反面、セキュリティの強度は高くない。安全性を維持するためには数カ月単位でパスワード変更が必要となり、取引先の数が多ければ管理の負荷も大きくなる。

 

 一方の電子証明書による認証は、最初の導入手続きこそ必要だが、情報漏えいのリスクはパスワード認証よりはるかに低い。取引先が複数あっても電子証明書は1つあればよく、更新も3年に1回で済む。キヤノンITS のJX-Clientでは、煩雑な手続きをすることなく電子証明書が自動で取得でき、更新作業も簡単だ。


 一般的なEDIソフトに電子証明書を適用させたい場合、図1のようにまずは複数ある電子認証業務事業者のどこから購入するかを検討し、用途にあった電子証明書を探して購入することから始まる。その後、申請書類を作成して電子証明書を発行する認証局に送付し、設定方法を調べたうえでオンライン登録を行い、証明書をダウンロードする。

 

 次のステップではEDIソフトを購入してクライアント端末にインストールし、証明書の適用方法を調べてEDIソフトに導入することですべて終わる。このように電子証明書とEDIソフトを別々に導入すると、証明書の購入方法、設定方法、EDIソフトへの導入方法などを調べる作業に膨大な労力がかかってしまうのだ。

 

図1

 

 一方、クライアント証明書をセットで提供するJX-Clientなら、図2のようにEDIソフトを購入後、申請書類を認証局に提出し、JX-Clientから電子証明書をダウンロードするだけだ。EDIソフトへの適用は専用ツールが自動で実行してくれる。3年に1度の更新時も、電子証明書の購入手続きが済んでいれば更新作業はJX-Clientが自動で実行するため手間はかからない。

 

 

 

 「専任の担当者がいない中小企業、煩雑な業務に担当者の貴重な時間や労力をかけたくない企業にとっては証明書登録・更新を自動で対応するJX-Clientは有効です。電子証明書のコストこそ発生しますが、運用負荷が減ることで結果的に全体のコスト軽減につながります。サーバー側の企業は、取引先に対してJX-Clientの導入を案内して窓口を一本化することで、煩雑な問い合わせ対応を回避することができます」(草氏)

 

 

金融業界や医療・医薬業界などにもクライアント認証が拡大

 

 以上のように、サプライチェーン攻撃が新たな脅威としてクローズアップされる中、流通業界においてはクライアント認証によるセキュリティ強化が有効であることがわかった。
流通BMSで採用されているJX手順は、低コストでかつ導入が容易であるため、近年は流通業界以外でも金融業界や医療・医薬業界など、さまざまな業界へ広がっている。そのため、クライアント証明書は流通以外の業務でも求められており、大きな注目を集めている。

 

 こうした背景を受けてインターネットEDI普及推進協議会(JiEDIA)では今後、一定の基準を満たした認証局を認定する制度を設け、業界を横断してデータ交換で利用できる電子証明書により、インターネットEDIの普及促進を目指していく考えだ。

 

 キヤノンITSでも今後は、JX手順以外の証明書自動取得機能を強化し、産業界全体のインターネットEDIのセキュリティ強化・移行促進を支援する姿勢を打ち出している。電子証明書の統一によってインターネットEDIはますます使い勝手が高まることが期待されており、今後の動向にも注目しておきたい。

 

 

●EDI-Master B2B for JX-Client の詳細はこちら

 

 

<お問い合わせ>

キヤノンITソリューションズ株式会社

ITインフラソリューション事業部

EDIソリューション営業本部

TEL:03-6701-3457

お問い合わせはこちら https://reg.canon-its.co.jp/public/application/add/441

製品情報はこちら https://www.canon-its.co.jp/solution/edi/

 

 

 

 

 

 

関連記事