企業向けサイバーセキュリティ分析を手掛けるSecurityScorecardは、日本企業では子会社や調達先といったサードパーティーに由来するデータ侵害の割合が高いとする分析結果を発表した。
同社は、2023年に世界各地で発生したデータ侵害事案について分析し、サードパーティーに由来する事案の割合は、世界平均が29%だったのに対して、日本では41%に上ることが分かったという。
主な原因では、使用している外部のテクノロジー製品やサービスが58%を占めた。また、33%は日本企業の海外の子会社や買収先などが原因だったとする。業界別では、テクノロジー・メディア・通信が26%を占め、以下は製造・自動車・建設の24%、小売・ホスピタリティーが17%だった。
また、サードパーティーに由来するデータ侵害の73%はランサムウェア犯罪グループ、27%は北朝鮮や中国の支援を受ける犯罪グループに関連するものだったとしている。
これを踏まえ同社は、以下の日本企業のサイバーセキュリティ対策に関する推奨事項を示している。
- サードパーティーのテクノロジーベンダーや海外の子会社、買収先に対するリスク管理を重視し、サードパーティーからの侵害リスクを軽減する
- 全ての事業体で一貫したセキュリティ基準を施行し、ネットワークのセグメンテーションによって横断的な移動を制限し、ネットワークアクセスを必要最低限に制限する
- 業界特性に合わせたリスク管理戦略を立案する。製造業や自動車業界ではサプライチェーンのサイバー障害に備え、テクノロジー業界では内部資産および顧客に対する防御を重視し、流通・ホスピタリティー業界ではECおよび決済処理ベンダーに向けて厳格な審査を行い、顧客の機密データを保護する
- 国家支援の攻撃者は、高度なセキュリティ体制を敷く対象への侵入手段としてサードパーティーの脆弱(ぜいじゃく)性を悪用することが多いため、防衛や金融などのセンシティブな業界では、サードパーティーベンダーにも同等のセキュリティ基準を適用し、リスクの低減を図る
日本企業のデータ侵害の原因となったサードパーティーとの関係(出典:SecurityScorecard)