SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

EnterpriseZineニュース

エネルギー業界のサイバー攻撃被害、45%はサードパーティに起因──SecurityScorecard

 米国時間2024年10月23日、SecurityScorecardとKPMGは、米国大手エネルギー企業250社を対象に実施した共同サイバーセキュリティ調査レポート「米国のエネルギーサプライチェーンにおけるサイバーリスクの定量分析」を発表した。同レポートでは、エネルギー業界とそのサプライチェーン全体にわたるサイバーセキュリティの脆弱性について、セキュリティリサーチャーと業界の専門家が分析しているとのことだ。

 同調査によると、エネルギー業界が頻繁に被害を受ける脅威として、従来のITシステムに対するランサムウェア攻撃が指摘されている。特に、産業用制御システム (ICS) とオペレーショナルテクノロジー(OT) への潜在的な攻撃に注目が集まっているという。

 詳細な結果は以下のとおり。

  • エネルギー業界における高いサードパーティリスク:エネルギー業界の侵害の45% は、サードパーティリスクに起因しており、世界全体の29%を上回る結果に。複数の侵害を受けた企業の90%は、サードパーティベンダーに起因した被害を受けている
  • 米国エネルギー業界のサイバーセキュリティ評価は「B」:米国エネルギー業界は、平均して「B」評価。81%の企業 が 「A」または「B」評価である一方、残りの19%の企業は低評価となっている
  • サードパーティに起因した侵害は、ソフトウェアおよびITベンダーが原因:サードパーティに起因した侵害の主な起源は、エネルギー業界外のソフトウェアおよびIT ベンダー。サードパーティに起因した侵害の67%は、ソフトウェアおよびITベンダーが起源となっており、他のエネルギー企業が関与していた侵害は4件のみだった
  • 再生可能エネルギー企業はサイバーセキュリティ体制に遅れ:石油・天然ガス企業は平均を上回る「A」評価である一方、再生可能エネルギー企業は「B」評価だった
  • 脆弱性は特定のリスクに集中:92%の企業は、10個あるリスク要因のうち、3つ(アプリケーションセキュリティ40%、ネットワークセキュリティ23%、DNS健康度29%)で最も低い評価となっている

 この分析に基づき、SecurityScorecard STRIKEチームは、以下のような対応を推奨している。

  • ソフトウェアおよびITベンダーを優先:サードパーティ リスクをもたらす可能性が最も高いソフトウェアおよびITベンダーから、リスク軽減に注力
  • 新テクノロジーによるセキュリティ重視:CISA の「 セキュア・バイ・デザイン」や、米国エネルギー省のサプライチェーンサイバーセキュリティ原則を採用し、新技術によるセキュリティを整備
  • 再生可能エネルギー源のセキュリティを優先:国家からの潜在的なサプライチェーンに対するリスクや地政学的脅威から保護するため、再生可能エネルギー向けのセキュリティプログラムを強化
  • 混乱に備え、他のリスクとのバランスを:データ侵害やその他の一般的なサイバーリスクへの備えを整備
  • 海外のサイバー攻撃から学ぶ:海外のランサムウェア攻撃を研究し、強靱性とサイバーセキュリティ防御を強化

【関連記事】
SecurityScorecard、「SCDR」に本格参入へ サービスを拡充
マクニカ、SecurityScorecard利活用支援サービスを提供開始
2024年はサイバー攻撃者のAI活用でゼロデイ脆弱性増加か──SecurityScorecard発表

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/20754 2024/11/06 16:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング