ニュース
63%の組織がサプライチェーンに起因するセキュリティインシデントを経験――、パロアルト調査
2022年8月5日 06:15
パロアルトネットワークス株式会社(パロアルト)は4日、サプライチェーンのリスクについて同社が実施した国内調査の内容を公開、その説明会を開催した。
調査は、国内の民間企業と官公庁や自治体で、セキュリティに関する決裁権や意思決定権を持つリーダー709人を対象に実施。対象者には、2021年4月~2022年3月の1年間に、どのようなインシデントや被害を経験したか、またどのような対策を施したかについて聞いている。同社では、この調査結果を「サプライチェーンリスクジャパンレポート2022」として公開している。
パロアルトネットワークス チーフサイバーセキュリティストラテジストの染谷征良氏によると、全体の63%がサプライチェーンに起因したセキュリティインシデントを経験しているといい、インシデントの発生源は、取引先が26%、IT業務の委託先が21%、非IT業務の委託先が18%、ソフトウェア・ハードウェアベンダーが16%、国内拠点の関係会社が16%、海外拠点の関係会社が16%、サービス事業者が14%、関係組織団体が12%、オープンソースソフトウェアが10%となっている。
発生源の上位3位が、取引先や業務委託先となっていることについて染谷氏は、「人材不足やスキル不足、コスト削減、合理化といったことを背景に、さまざまな分野で業務委託や多重下請けが一般的となっている日本の産業構造を反映したような結果だ」と述べている。
サプライチェーンセキュリティインシデントの発生率を業種別で見ると、民間企業では60%が、官公庁・自治体・団体を含むパブリックセクターでは44%がインシデントを経験。特に、「水道・ガス・電力や、サービス、製造、医療など、政府のサイバーセキュリティ戦略本部で重要インフラと位置づけられている業種でインシデント発生率が高いほか、製造業でも発生率が非常に高くなっている」(染谷氏)という。
パブリックセクターは、インシデント発生率が民間企業より低くなっているが、染谷氏は「額面通りの数字であれば悪いことではないが、都道府県庁や市区町村の役所では、意思決定者・決裁権者の4分の1が、サプライチェーンでのインシデントの状況を把握できていないと回答している。人材不足・スキル不足は民間以上に顕著で、実情を把握できていないことがこの数字の裏に隠れているのではないか」とコメントしている。
では、具体的にどのようなインシデントが発生しているのか。最も多かったのは個人情報の漏えいで、全体の26%が経験。特に金融機関では48%が経験するという突出した結果が出ている。次に多かったのは、22%が経験した機密情報の漏えいだ。「産業スパイの懸念高まる中、競争力の根幹をなすような情報が狙われてる」と染谷氏は言う。3番目に多かったのがシステム障害で20%が経験。特に製造業では40%が経験しているという。
サプライチェーンリスクの対策における課題については、すべてのサプライチェーンの把握が困難なこと(28%)や、すべてのIT資産の把握が困難なこと(25%)などを挙げる組織が多く、最大の課題は可視性の欠如であることがわかる。
こうした中、自組織の求めるセキュリティ水準を満たせない場合には、取引停止もありうるといった通達を取引先に提示している組織も53%存在するという。一方で、取引先に対して対策を強制することができないことを課題として挙げる組織も26%にのぼっている。
では、サプライチェーンリスクを最大限削減するための対策として、具体的に何をすればいいのだろうか。染谷氏はまず、「ゼロトラストに基づいて、可視化と監視、制御を実施すること」を挙げる。
「サプライチェーンリスクにおいては、サイバー攻撃か内部犯行か外部犯行かを問わず、暗黙裡の信頼が最大のリスク。自組織だけではコントロールできない領域が多いからこそ、長年付き合いのある信頼のある取引先であってもセキュリティ侵害を前提とし、すべての通信を信頼せずに必ず検査するという、ゼロトラストを原則としたテクノロジーを実装することが求められる」と染谷氏は説明している。
また、業務委託先や取引先に対し、実効性ある監査を行うことや、製品・サービスの供給元がどういった取り組みを実施しているか確認すること、さらにはその製品・サービスの情報収集とバージョン管理をすることも重要だと染谷氏は指摘する。また、インシデント発生時には社内外での連携体制が不可欠なことから、「レスポンス体制を構築しておくように」と、染谷氏は推奨している。
