同社のジャパン・カントリー・マネージャーの河合哲也氏は、「攻撃者側の能力が高く攻撃者はエンドポイントまで入ってきました。セキュリティが戦う場が従来のゲートウェイからエンドポイントに変化。そのため、エンドポイントのセキュリティツールが増加しています」と話す。中でも最近はサプライチェーン攻撃が増加傾向にあるという。そこで、クラウドベースの次世代エンドポイントプロテクションを提供する同社は、日本を含む世界8か国のITセキュリティ専門家など1300人にサプライチェーン攻撃に対する意識調査を実施した。
調査結果によると、サプライチェーン攻撃を含む複数のサイバー攻撃がより深刻になると97%が回答。一般的なマルウェア攻撃をはじめ、フィッシングやパスワード攻撃など、組織は様々な脅威に晒されている。全体的な危機意識が高い一方で、2017年以降サプライチェーン攻撃が台頭し企業の意識が向上したにも関わらず、サプライチェーン攻撃の脅威を懸念しているのは全回答者の33%のみにとどまっている。
サプライチェーン攻撃に関する調査では、グローバルでも8割以上の組織がサプライチェーン攻撃への深刻なリスクを認識しながらも、実際のサプライチェーン攻撃への対応について、約半数ほどしか具体的な戦略を策定していない。日本では79%が脅威意識を抱いているのに対し、実際の対策や経営幹部による脅威意識は欠けていることがわかった。
さらに、米国やイギリスが約6割ほど戦略を策定しているのに対し、日本では37%しか具体的な対応戦略を策定しておらず、「戦略やプランが全くない」という回答も8か国の中で最多となった。加えて、2017年以降、昨年の大規模なサプライチェーン攻撃があったにもかかわらず、日本では22%ほどしかサプライヤーのセキュリティに関する調査を行っていないという。米CrowdStrike社のテクノロジー・ストラテジーを担当するヴァイス・プレジデント マイケル・セントナス氏は「サプライチェーン攻撃を未然に防ぐための努力は全組織の責任だ」と指摘する。
また、過去12か月の間に66%の組織がサプライチェーン攻撃に遭った経験があると回答。サプライチェーン攻撃に晒されてしまった企業は、平均110万USドルの経済損失を被っており、中には総合的な対応戦略を確立した組織(34%)もあった。
セントナス氏によるとサプライチェーン攻撃は、ほかの攻撃手法と比べても複雑な攻撃だ。大企業を直接狙うのではなく、ビジネスパートナーであるサプライヤーを狙い狙うことで間接的に攻撃ができ、かつ、セキュリティの強固な大企業であっても攻撃の発信源を特定することが難しいという。同氏は「被害を受けた3割は組織としての戦略があったにもかかわらず、被害を避けられなかった。各組織は早急に対応を検討しなければならない」とし、サプライヤーを巻き込んで対策を考えるよう勧めた。
