セキュリティソフトウェア会社のタニウムは8月24日、サプライチェーン(調達や供給に関する企業間のつながり)のサイバーセキュリティリスクに関する企業の意識調査の結果を発表した。多くの企業がセキュリティリスクを認識するものの、対策が進んでいない実態が分かったとしている。
調査は、大企業のサイバーセキュリティ意思決定者を対象として、6月1日~20日にウェブで実施した。有効回答は659件だった。
まず、セキュリティインシデントが発生した時の被害総額(想定を含む)は、50%が1000万円以上した一方、27%が不明と答えた。また、サプライチェーンのセキュリティ対策の必要性を認識している回答者は87%に上る。ただし、対策を実施しているのは29%、対策実施を検討しているのは44%だった。
サプライチェーンのセキュリティ対策状況
調査結果を紹介したマーケティング本部 パートナーマーケティングマネージャーの村井新太郎氏は、被害総額を不明とした企業や対策の実施および検討をしていない企業が3割前後もあるとし、こうした企業がサプライチェーンのセキュリティにおいて潜在的なリスクを抱えていると指摘した。
サプライチェーンのセキュリティ対策費用では、「500万円以上~1000万円未満」が30%で最も多いものの、「1000万円以上」が19%、「費用がかかっていない」が11%など、バラバラだった。この点は回答企業によってサプライチェーンの規模が異なり、それに応じて対策費用も変わるため、特段の傾向は見られないという。
回答者の企業が取引先に対して実施していることでは、「セキュリティインシデント対策の組織とプロセス確立を要請、または報告している」が52%で最も多く、「監査レビュー結果に応じて強化策の要請、または実施報告している」は18%で、体制などの整備を「要請や報告」する段階の取り組みが目立った。
取引先に対するセキュリティの取り組み状況
また、監査の要請については、大企業、中小企業とも半数以上が「監査まで求められていない」としており、村井氏は、「コスト以外にこうした実態が、サプライチェーンのセキュリティ対策が進まない理由として考えられる」と述べた。
サプライチェーンにおけるセキュリティ監査の状況
以上の結果を背景として、自社のグローバルガバナンスの中にセキュリティリスクを位置付ける企業は8%にとどまり、3年後の見通しでもセキュリティリスクを位置付けるとした企業は12%しかなかった。「3年間でも4%しか増えない見通しで、サプライチェーンのセキュリティ対策の推進は大変に難しい」(村井氏)という。
村井氏は、同社では平時から適正なセキュリティ対策を実施することで安全性を維持する「サイバーハイジーン」(衛生的なIT環境)に力点を置いていると紹介した。例えば、組織内に存在するIT資産の存在とその状況をできるだけ抜け漏れなく把握、管理することや、常に最新のセキュリティパッチが適用されている、定期的に監視しているといった、サイバー攻撃などの脅威に対して強固なIT環境を講じる取り組みになる。
しかし同社の調査では、半数近くが「サイバーレジリエンス」を優先投資先に挙げていた。サイバーレジリエンスは、セキュリティ被害などから組織や事業などを立て直す能力といった意味で、回答企業は有事の際の事後対応を重視していることが分かった。
サイバーハイジーン(事前)とサイバーレジリエンス(事後)のイメージ
村井氏は、サイバーハイジーンに優先投資するとの回答も2割以上あり、サイバーハイジーンの重要性がある程度認識されていると説明。「カナダのサイバーインシデントレスポンスチームは、サイバーハイジーンに取り組めはセキュリティリスクを85%低減できると発表しており、平時の対策が大事」と話した。