SecurityScorecardとCyentia Instituteの調査「Global 2000: 業界の巨人がサプライチェーンのサイバーリスクという脅威と闘う」によれば、Global 2000企業の99%が、最近侵害を経験したベンダーと直接関係していることが明らかになったという。
同レポートでは、SEC(米国証券取引委員会)が新たなサイバーセキュリティ要件に基づき、開示を求める第三者による侵害に対する透明性により、マルチパーティサプライチェーン攻撃のリスクが高まっていることが強調されているとのことだ。
主な調査結果
- Forbes Global 2000企業の99%が、サプライチェーンの侵害に直接関係している
- これらの大企業の20%は、1,000種類以上の製品を使用している
- サプライチェーンに起因したインシデントの修復と管理には、自社での侵害対応と比較して17倍のコストがかかる
- Forbes Global 2000の侵害による推定総損失額は、15ヵ月間で200億ドルから 800億ドルに及ぶ
- Forbes Global 2000企業は相互依存性が高く、90%が互いにベンダーとして機能しているため、重大なリスクの集中に直面している
- 最も広範囲で導入されている上位8社のベンダー製品/サービスは、Forbes Global 2000企業の少なくとも80%で使用されており、上位5社のうち4社の製品/サービスを使用している企業では、最近侵害が発生したと報告されている
サプライチェーンを把握する
サプライチェーンの把握は、サイバーレジリエンスの重要な要素になりつつある。組織内およびベンダー間の依存関係を理解することは、効果的にインシデントに対応する上で不可欠だという。最も信頼できるベンダーやパートナーであっても、問題が発生する可能性があるとしている。
サプライチェーンにおけるセキュリティを確保するための主な手順として、次のように述べている。
- 外部の攻撃対象領域を継続的に監視:継続的な自動スキャンによりITエコシステムを保護し、ベンダー、代理店、パートナーのITインフラストラクチャ全体とサイバーセキュリティのリスクを特定し、軽減
- 単一脆弱点を特定:重要なビジネスプロセスとテクノロジをマッピングし、単一脆弱点を特定。これにより、ベンダー関連の警戒リストを作成
- 新しいベンダーを自動的に検出:ベンダーのIT環境を監視し、隠れたサプライチェーンのリスクを特定して解決
【関連記事】
・ランサムウェア被害業界はエンジニアリング/製造業が20.59%で1位に──ウィズセキュア調査
・2023年のフィッシング試行件数は日本だけで2700万件以上──ゼットスケーラー調査
・「航空業界のサイバーリスク2024年版」発表、新たな脆弱性が明らかに 脅威リサーチャーからの提言も
