EnterpriseZineニュース

「航空業界のサイバーリスク2024年版」発表、新たな脆弱性が明らかに　脅威リサーチャーからの提言も

2024/08/28 17:00

通知

　SecurityScorecardは、世界の主な航空会社250社に関する最新のサイバーセキュリティレポート「世界の航空業界におけるサイバーリスク2024年版」（英語版のみ）を発表した。セキュリティリサーチャーが、航空業界とその様々なサプライチェーンにおける脆弱性を明らかにしているという。

航空業界のサイバーセキュリティに関する新たな洞察

　同レポートは、世界中の規制機関が航空業界に対するサイバーセキュリティ要件を強化する中で発表された。米国運輸保安局は2023年3月に新たな規制を導入し、EUの規則「2023/203」が2026年に発効され、航空情報セキュリティリスク管理の新たな基準が確立される。

　航空業界は従来、物理的なセキュリティ脅威に焦点を当ててきたが、ボーイングのサプライチェーンのリスクに関して最近明らかになった事実により、サプライチェーンのリスクを評価し、対策することが求められているという。同調査は、特にサプライチェーンのサイバーリスクに関する意識の向上を目的としており、航空業界全体の包括的なサイバーセキュリティ監視の必要性とベストプラクティスを強調しているという。

主な調査結果

航空業界におけるサイバーセキュリティ評価は「B」：航空業界の平均評価は「B」。これは落第点ではないものの、サイバー攻撃の被害を受ける可能性が低いことにはならない。評価「B」の企業は、評価「A」の企業よりも2.9倍データ侵害の被害に遭う可能性が高いことが明らかになっている
ITベンダーと航空会社の脆弱性：特筆すべきは、航空業界に特化したソフトウェアおよびITベンダーのスコアが最も低いことで、平均スコアは83点。これは、航空会社にとってはサードパーティリスクとなる。同様に、航空会社もベンダーに対して第三者リスクをもたらす可能性がある。たとえば、この調査では、最近航空会社で発生した3件の情報漏えいにおいて、航空関連ベンダーの情報が流出した事例を紹介している
サードパーティーによる情報漏えいの影響：調査対象企業の7％が、過去1年間に情報漏洩があったことを公表しており、17％が過去1年間に少なくとも1台のシステムが侵害されていたことが明らかに。また、航空会社では、低スコアのベンダーの脆弱性がサードパーティーリスクを高め、業界ベンチマークよりも4％多く侵害が発生している
サイバーと地政学的脅威における世界的格差：西欧やオーストラリアのような先進国は、新興国よりもサイバーセキュリティが堅牢で、スコアは新興国を大きく上回っている。中国などの国家が支援する攻撃は、今後大きな混乱を予示している
ランサムウェアが最大の脅威：ランサムウェアは、この業界において最大の脅威となっている。航空業界を積極的に標的とするランサムウェア攻撃グループには、BlackCat、LockBit、BianLian、Dunghill Leakなどが存在する
業績との相関：業界および消費者基準で業績上位の航空会社のセキュリティスコアは平均を上回っており、業務運営における卓越性、そして特にサイバーセキュリティとの関連性を示している

航空業界に対するサイバーセキュリティに関する提言

　同レポートの分析に基づき、SecurityScorecardの脅威リサーチャーは、航空業界のサイバーセキュリティ強化のための実用的なインサイトを提供しているという。

ソフトウェアおよびITベンダーの優先順位付け：サードパーティリスクが最も高いソフトウェアベンダーと、ITベンダーによるリスクの軽減に注力しましょう
サードパーティのリスク管理を強化：潜在的な脅威全般をカバーするため、サードパーティのリスク管理プログラムにパートナーや顧客など関連するすべての組織を含めましょう
重要データの保護を強化：航空産業の知的財産や旅客データは、サイバー犯罪者や国家の支援を受ける攻撃者にとって価値の高いターゲットであるため、強固な防御策を導入しましょう
身代金の支払いを控える：身代金の支払いを控えることで、攻撃を助長することを防ぎ、法的規制に遵守できます

　SecurityScorecardで脅威調査・情報担当上級副社長を務めるライアン・シェルトビトフ氏は、次のように述べている。

　「航空業界のパートナーシップは複雑に入り組んでいるため業界内のセキュリティは脆弱なものとなっています。当社の調査では、航空会社はサードパーティのリスクに対して無防備であることが明らかになっています。乱気流が大惨事に発展する前に、航空業界全体で意識を合わせ、エコシステム全体で強固なセキュリティ対策の整備を優先すべき時です」

調査方法

　上位の民間旅客航空会社100社、航空機およびその部品のトップメーカー50社、航空サービスのトッププロバイダー50社、航空に特化したソフトウェアおよびIT製品・サービスのトッププロバイダー50社を含む、250の組織からサンプルを抽出。対象企業は、業界ランキングや業界誌、消費者向け出版物から抽出し、定量的な指標と業績指標、戦略的な重要性を組み合わせているという。

この記事は参考になりましたか？

印刷用を表示

関連リンク: プレスリリース

この記事の著者: EnterpriseZine編集部（エンタープライズジンヘンシュウブ）

「EnterpriseZine」（エンタープライズジン）は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事