サプライチェーンのセキュリティ対策が進まない--タニウム調査

國谷武史 (編集部)

2022-08-25 06:05

 セキュリティソフトウェア会社のタニウムは8月24日、サプライチェーン(調達や供給に関する企業間のつながり)のサイバーセキュリティリスクに関する企業の意識調査の結果を発表した。多くの企業がセキュリティリスクを認識するものの、対策が進んでいない実態が分かったとしている。

 調査は、大企業のサイバーセキュリティ意思決定者を対象として、6月1日~20日にウェブで実施した。有効回答は659件だった。

 まず、セキュリティインシデントが発生した時の被害総額(想定を含む)は、50%が1000万円以上した一方、27%が不明と答えた。また、サプライチェーンのセキュリティ対策の必要性を認識している回答者は87%に上る。ただし、対策を実施しているのは29%、対策実施を検討しているのは44%だった。

サプライチェーンのセキュリティ対策状況
サプライチェーンのセキュリティ対策状況

 調査結果を紹介したマーケティング本部 パートナーマーケティングマネージャーの村井新太郎氏は、被害総額を不明とした企業や対策の実施および検討をしていない企業が3割前後もあるとし、こうした企業がサプライチェーンのセキュリティにおいて潜在的なリスクを抱えていると指摘した。

 サプライチェーンのセキュリティ対策費用では、「500万円以上~1000万円未満」が30%で最も多いものの、「1000万円以上」が19%、「費用がかかっていない」が11%など、バラバラだった。この点は回答企業によってサプライチェーンの規模が異なり、それに応じて対策費用も変わるため、特段の傾向は見られないという。

 回答者の企業が取引先に対して実施していることでは、「セキュリティインシデント対策の組織とプロセス確立を要請、または報告している」が52%で最も多く、「監査レビュー結果に応じて強化策の要請、または実施報告している」は18%で、体制などの整備を「要請や報告」する段階の取り組みが目立った。

取引先に対するセキュリティの取り組み状況
取引先に対するセキュリティの取り組み状況

 また、監査の要請については、大企業、中小企業とも半数以上が「監査まで求められていない」としており、村井氏は、「コスト以外にこうした実態が、サプライチェーンのセキュリティ対策が進まない理由として考えられる」と述べた。

サプライチェーンにおけるセキュリティ監査の状況
サプライチェーンにおけるセキュリティ監査の状況

 以上の結果を背景として、自社のグローバルガバナンスの中にセキュリティリスクを位置付ける企業は8%にとどまり、3年後の見通しでもセキュリティリスクを位置付けるとした企業は12%しかなかった。「3年間でも4%しか増えない見通しで、サプライチェーンのセキュリティ対策の推進は大変に難しい」(村井氏)という。

 村井氏は、同社では平時から適正なセキュリティ対策を実施することで安全性を維持する「サイバーハイジーン」(衛生的なIT環境)に力点を置いていると紹介した。例えば、組織内に存在するIT資産の存在とその状況をできるだけ抜け漏れなく把握、管理することや、常に最新のセキュリティパッチが適用されている、定期的に監視しているといった、サイバー攻撃などの脅威に対して強固なIT環境を講じる取り組みになる。

 しかし同社の調査では、半数近くが「サイバーレジリエンス」を優先投資先に挙げていた。サイバーレジリエンスは、セキュリティ被害などから組織や事業などを立て直す能力といった意味で、回答企業は有事の際の事後対応を重視していることが分かった。

サイバーハイジーン(事前)とサイバーレジリエンス(事後)のイメージ
サイバーハイジーン(事前)とサイバーレジリエンス(事後)のイメージ

 村井氏は、サイバーハイジーンに優先投資するとの回答も2割以上あり、サイバーハイジーンの重要性がある程度認識されていると説明。「カナダのサイバーインシデントレスポンスチームは、サイバーハイジーンに取り組めはセキュリティリスクを85%低減できると発表しており、平時の対策が大事」と話した。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 経営

    ヒヤリハット管理--トラブル防止のデジタル化でもたらされるメリットとは?具体的なイメージを紹介

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]