7割以上の企業がサプライチェーン攻撃への具体的対策なし、調査結果発表製造マネジメントニュース

エンドポイント管理ソリューションなどを提供するタニウムは2022年8月24日、「サプライチェーンリスクに関する市場調査」の結果を発表した。サプライチェーン攻撃などに対する認識や対策の程度や、セキュリティコストなどを尋ねた。

» 2022年08月25日 10時00分 公開
[池谷翼MONOist]

 エンドポイント管理ソリューションなどを提供するタニウムは2022年8月24日、「サプライチェーンリスクに関する市場調査」の結果を発表した。サプライチェーン攻撃などに対する認識や対策の程度や、セキュリティコストなどを尋ねた。

コスト感が対策の足かせになっている可能性

 タニウムは2007年に米国で設立されたスタートアップで、エンドポイントの管理、制御、保護ソリューションなどを手掛けている。現時点で、世界中で3000万個のエンドポイントを管理している。日本では2014年にタニウム合同会社を設立し、国内事業を展開する。国内では京セラや荏原製作所、日本製鉄、NECなどの企業が、タニウムのソリューションを導入している。

 今回の調査は、従業員1000人以上の企業のサイバーセキュリティ意思決定者である6711人(有効回答数659件)を対象に実施した。近年、脅威が増すサプライチェーン攻撃について、国内企業による対策の現状を明らかにしようとした。

 サプライチェーン攻撃のリスクについて、認識や対策の程度を尋ねたところ、回答者全体では「サプライチェーンリスク対策の必要性を認識しており、対策も実施している」と回答したのは29%となった。この他、「サプライチェーンリスク対策の必要性を認識しており、対策を検討している」は44%、「サプライチェーンリスク対策の必要性は認識しているが、特に検討も対策も行っていない」は14%、「サプライチェーンリスク対策の必要性を感じていない」は5%、「分からない」は9%であった。これらの結果から、タニウム合同会社 マーケティング本部 パートナーマーケティングマネージャーの村井新太郎氏は、「7割以上の回答者がサプライチェーンリスクへの具体的な対策を行えていない」と指摘した。

 なお回答者を業種別に見ると、製造業においては「サプライチェーンリスク対策の必要性を認識しており、対策も実施している」が31%、「サプライチェーンリスク対策の必要性を認識しており、対策を検討している」は45%、「サプライチェーンリスク対策の必要性は認識しているが、特に検討も対策も行っていない」は14%、「サプライチェーンリスク対策の必要性を感じていない」は4%、「分からない」は6%だった。

サプライチェーンリスクの認識と対策に関する調査[クリックして拡大] 出所:タニウム

 村井氏は企業全体でサプライチェーンリスク対策が進まない理由について、対策に必要なコスト感が障壁になっている可能性を挙げた。実際に今回の調査で、セキュリティチェックにかかる年間の管理コストを尋ねたところ、「1000万円以上」が19%、「500万円〜1000万円未満」が30%、「100万円〜500万円未満」が27%、「100万円未満」が13%という結果になった。500万円以上と回答した企業が約半数であったことから、「サプライチェーンリスクの対策コストがかかってしまうことが、対策を明確化できない要因になっている」(村井氏)とも考えられる。

サプライチェーンリスク対策にかかるコストの調査[クリックして拡大] 出所:タニウム

 また、その他の要因として村井氏は、そもそも多くのサプライヤーが製品供給先の顧客企業から監査を求められていないことが影響している可能性についても言及した。調査で顧客からサプライチェーンリスクに関して求められる対策や監査の程度を尋ねると、国内外の顧客から「対策を依頼されているが監査までは求められていない」という回答が全体の約55%を占めた。

サプライチェーンリスクにおける監査や対策の要請に関する実態調査[クリックして拡大] 出所:タニウム

 セキュリティインシデントが発生した場合の被害額について、企業がどのように想定しているかも尋ねた。「1億円以上」と回答したのが全体の14%で、「5000万円〜1億円未満」が17%、「1000万円〜5000万円未満」が19%、「100万円〜1000万円未満」が14%、「100万円未満」が9%、「分からない」が27%となった。約半数の企業が被害額として1000万円以上を想定しており、また「1億円以上」と想定する企業も14%存在したことから、村井氏は「ランサムウェアなどによるセキュリティ被害が、企業にとって大きな負担になると考えられている」と説明する。

 一方で全体の約3割は「分からない」と回答している。村井氏は「自社の現状を把握しきれていない企業も存在する。(サプライチェーンにとって)潜在的なリスクになり得る」と指摘した。

セキュリティインシデント発生時の想定被害額の調査[クリックして拡大] 出所:タニウム

 こうした状況を踏まえて、タニウムでは「サイバーハイジーン」を意識した対策の重要性を訴えている。村井氏によると、サイバーハイジーンはサイバーセキュリティ対策のプロセスの内、「識別」と「防御」を重視するもので、「対応」や「復旧」に焦点を当てた「サイバーレジリエンス」とは対応領域がやや異なってくる。具体的には保有する端末機器などエンドポイントの把握や監視、脆弱性の把握などが該当する。

 村井氏は「うがいや手洗いのようなもので、リスク予防の効果があり、カナダのサイバーインシデントレスポンスチーム(CCIRC)や米国の国土安全保障省(CISA)などの公的機関においてもリスク低減効果があると推奨されている」と説明した。

⇒その他の「製造マネジメントニュース」の記事はこちら

Copyright © ITmedia, Inc. All Rights Reserved.