米国時間2024年10月23日、SecurityScorecardとKPMGは、米国大手エネルギー企業250社を対象に実施した共同サイバーセキュリティ調査レポート「米国のエネルギーサプライチェーンにおけるサイバーリスクの定量分析」を発表した。同レポートでは、エネルギー業界とそのサプライチェーン全体にわたるサイバーセキュリティの脆弱性について、セキュリティリサーチャーと業界の専門家が分析しているとのことだ。
同調査によると、エネルギー業界が頻繁に被害を受ける脅威として、従来のITシステムに対するランサムウェア攻撃が指摘されている。特に、産業用制御システム (ICS) とオペレーショナルテクノロジー(OT) への潜在的な攻撃に注目が集まっているという。
詳細な結果は以下のとおり。
- エネルギー業界における高いサードパーティリスク:エネルギー業界の侵害の45% は、サードパーティリスクに起因しており、世界全体の29%を上回る結果に。複数の侵害を受けた企業の90%は、サードパーティベンダーに起因した被害を受けている
- 米国エネルギー業界のサイバーセキュリティ評価は「B」:米国エネルギー業界は、平均して「B」評価。81%の企業 が 「A」または「B」評価である一方、残りの19%の企業は低評価となっている
- サードパーティに起因した侵害は、ソフトウェアおよびITベンダーが原因:サードパーティに起因した侵害の主な起源は、エネルギー業界外のソフトウェアおよびIT ベンダー。サードパーティに起因した侵害の67%は、ソフトウェアおよびITベンダーが起源となっており、他のエネルギー企業が関与していた侵害は4件のみだった
- 再生可能エネルギー企業はサイバーセキュリティ体制に遅れ:石油・天然ガス企業は平均を上回る「A」評価である一方、再生可能エネルギー企業は「B」評価だった
- 脆弱性は特定のリスクに集中:92%の企業は、10個あるリスク要因のうち、3つ(アプリケーションセキュリティ40%、ネットワークセキュリティ23%、DNS健康度29%)で最も低い評価となっている
この分析に基づき、SecurityScorecard STRIKEチームは、以下のような対応を推奨している。
- ソフトウェアおよびITベンダーを優先:サードパーティ リスクをもたらす可能性が最も高いソフトウェアおよびITベンダーから、リスク軽減に注力
- 新テクノロジーによるセキュリティ重視:CISA の「 セキュア・バイ・デザイン」や、米国エネルギー省のサプライチェーンサイバーセキュリティ原則を採用し、新技術によるセキュリティを整備
- 再生可能エネルギー源のセキュリティを優先:国家からの潜在的なサプライチェーンに対するリスクや地政学的脅威から保護するため、再生可能エネルギー向けのセキュリティプログラムを強化
- 混乱に備え、他のリスクとのバランスを:データ侵害やその他の一般的なサイバーリスクへの備えを整備
- 海外のサイバー攻撃から学ぶ:海外のランサムウェア攻撃を研究し、強靱性とサイバーセキュリティ防御を強化
【関連記事】
・SecurityScorecard、「SCDR」に本格参入へ サービスを拡充
・マクニカ、SecurityScorecard利活用支援サービスを提供開始
・2024年はサイバー攻撃者のAI活用でゼロデイ脆弱性増加か──SecurityScorecard発表