SecurityScorecardは、「日本におけるサードパーティー由来のサイバーセキュリティ侵害に関するレポート」を発表した。
同レポートの主な調査結果および日本企業に向けた対策への推奨事項は、次のとおり。
主な調査結果
- サードパーティー由来の侵害の割合が急増:日本において、2023年に発生した160件のデータ侵害のうち66件(41%)は、サードパーティー由来の攻撃が原因
- テクノロジー製品とテクノロジーサービスがリスクを増大:使用している他社製のテクノロジー製品およびテクノロジーサービスが日本におけるサードパーティー由来のデータ侵害の主な原因で、データ侵害の58%を占める。また、3分の1(33%)は日本企業の子会社や買収先によるもので、主に海外で活動する企業が関与
- テクノロジーおよびメディア企業が攻撃の標的に:テクノロジー、メディア、通信業界がサードパーティー由来のデータ侵害に最も脆弱で、全体の4分の1以上(26%)を占める。次いで製造、自動車、建設業界が24%、小売りおよびホスピタリティ業界が17%
- ランサムウェアと国家支援の攻撃が主な原因:日本におけるサードパーティー由来のデータ侵害の73%は、ランサムウェアを悪用する犯罪グループによるものであり、残りの27%は北朝鮮や中国から国家支援を受けるグループに関連
日本企業へのサイバーセキュリティ対策に関する推奨事項
- リスク起源を優先管理:サードパーティーのテクノロジーベンダーや海外の子会社・買収先に対するリスク管理を重視し、サードパーティーからの侵害リスクの軽減
- 子会社や買収先のセキュリティを強化:すべての事業体で一貫したセキュリティ基準を施行。ネットワークのセグメンテーションによって横断的な移動を制限し、ネットワークアクセスを必要最低限に制限する
- 業界固有のサードパーティー由来のリスクに対応:業界特性に合わせたリスク管理戦略を立案。製造業や自動車業界ではサプライチェーンのサイバー障害に備え、テクノロジー業界では内部資産および顧客対する防御を重視し、流通・ホスピタリティ業界ではEコマースおよび決済処理ベンダーに向けて厳格な審査を行い、顧客の機密データを保護する
- 国家支援の脅威に対抗:国家支援の攻撃者は、高度なセキュリティ体制を敷く対象への侵入手段としてサードパーティーの脆弱性を悪用することが多いため、防衛や金融などのセンシティブな業界では、サードパーティーベンダーにも同等のセキュリティ基準を適用し、リスクの低減を図る
![[画像クリックで拡大]](http://ez-cdn.shoeisha.jp/static/images/article/20876/20876_1.png)
【関連記事】
・GitHub、オープンソースセキュリティの支援に向けた資金提供プログラムのパートナーを募集
・Tenable、2025年クラウドセキュリティ予測を発表 データ保護とAIセキュリティの両立が課題
・パロアルトネットワークス、PAN-OSの管理インタフェースにおける脆弱性悪用の攻撃活動情報を報告
