2023年12月8日、SecurityScorecardは、日経225企業の業種別サイバーリスクレーティング調査に関する説明会を開催した。
同社は、「セキュリティレーティング」と呼ばれるサービスを提供している企業。A~D/Fおよび100点満点で、セキュリティリスクをスコアリングするというもの。既に1200万強の企業ドメインを継続評価しており、5万強の顧客が利用しているという。今回同社は、2022年11月20日から2023年11月20日までの1年間を対象期間として日経225に含まれる企業のうち、金融、製造、医療、重要インフラ、運輸の5業種177社を対象に調査を実施。同社 日本法人代表取締役の藤本大氏は、下図を示しながら「概ね良好な調査結果を得ることができた」と説明する。
高評価に位置づけられるA/B評価が23.2%、次いでC評価が29.9%と全体の約9割がC評価以上を獲得した。一方、下図のように業種ごとに分類してみると、製造と重要インフラだけがD/F評価を含んでおり、特に重要インフラにおいてはA評価がないなど対策が急がれる状況も見てとれる。
「過去1年間において、重要インフラがサイバー侵害を受けた原因は100%取引先に起因するものだ」と藤本氏。A評価を獲得している40社は過去1年間サイバー侵害を受けていないという。サプライチェーンリスク管理の重要性が伺える結果だとして脆弱性への対応はもちろん、D/F評価を受けた12社は全面的な見直しが必要だとした。
続いて、SecurityScorecardを導入している日清食品ホールディングスから、執行役員CIO グループ情報責任者である成田敏博氏が登壇。「ここ数年でセキュリティを取り巻く状況が大きく変わっており、今から約1年半前に最重要項目としてサイバーセキュリティを掲げた『5つのデジタル施策』を提示して対策を進めている」と説明を行う。
日清食品ホールディングスでは、ニップンがサイバー攻撃に遭ったことなどを契機に、2021年9月には外部人材を招聘して「サイバーセキュリティ戦略室」を設置。経済産業省『サイバーセキュリティ経営ガイドライン』をフレームワークとして全社的なセキュリティを推進しており、2025年を期限とした中期セキュリティ対応計画という5ヵ年計画を進めてきた。成田氏は「特に従業員のセキュリティ意識の啓発には力をいれている」として、NISC(内閣サイバーセキュリティセンター)が主導する『サイバーセキュリティ月間』にあわせて標的型攻撃メール訓練を行ったり、eラーニングによる学習を実施したり、直近ではCSIRT協議会が定めるメール開封率5%を下回る2.7%を記録するにまでなったと話す。
また、EDR/XDR、SOCなどによる国内外での外部侵入検知の強化に加えて、セキュリティ・リスクアセスメントとしてセキュリティ水準をスコア化すると、グループ企業に向けてSecurityScorecardを用いたリスク・レイティングを行っている。今後は、取引先に対しても定期的なモニタリングと脆弱性の可視化、改善の促進などにつなげていきたいとした。
