7割以上の企業がサプライチェーン攻撃への具体的対策なし、調査結果発表:製造マネジメントニュース
エンドポイント管理ソリューションなどを提供するタニウムは2022年8月24日、「サプライチェーンリスクに関する市場調査」の結果を発表した。サプライチェーン攻撃などに対する認識や対策の程度や、セキュリティコストなどを尋ねた。
エンドポイント管理ソリューションなどを提供するタニウムは2022年8月24日、「サプライチェーンリスクに関する市場調査」の結果を発表した。サプライチェーン攻撃などに対する認識や対策の程度や、セキュリティコストなどを尋ねた。
コスト感が対策の足かせになっている可能性
タニウムは2007年に米国で設立されたスタートアップで、エンドポイントの管理、制御、保護ソリューションなどを手掛けている。現時点で、世界中で3000万個のエンドポイントを管理している。日本では2014年にタニウム合同会社を設立し、国内事業を展開する。国内では京セラや荏原製作所、日本製鉄、NECなどの企業が、タニウムのソリューションを導入している。
今回の調査は、従業員1000人以上の企業のサイバーセキュリティ意思決定者である6711人(有効回答数659件)を対象に実施した。近年、脅威が増すサプライチェーン攻撃について、国内企業による対策の現状を明らかにしようとした。
サプライチェーン攻撃のリスクについて、認識や対策の程度を尋ねたところ、回答者全体では「サプライチェーンリスク対策の必要性を認識しており、対策も実施している」と回答したのは29%となった。この他、「サプライチェーンリスク対策の必要性を認識しており、対策を検討している」は44%、「サプライチェーンリスク対策の必要性は認識しているが、特に検討も対策も行っていない」は14%、「サプライチェーンリスク対策の必要性を感じていない」は5%、「分からない」は9%であった。これらの結果から、タニウム合同会社 マーケティング本部 パートナーマーケティングマネージャーの村井新太郎氏は、「7割以上の回答者がサプライチェーンリスクへの具体的な対策を行えていない」と指摘した。
なお回答者を業種別に見ると、製造業においては「サプライチェーンリスク対策の必要性を認識しており、対策も実施している」が31%、「サプライチェーンリスク対策の必要性を認識しており、対策を検討している」は45%、「サプライチェーンリスク対策の必要性は認識しているが、特に検討も対策も行っていない」は14%、「サプライチェーンリスク対策の必要性を感じていない」は4%、「分からない」は6%だった。
村井氏は企業全体でサプライチェーンリスク対策が進まない理由について、対策に必要なコスト感が障壁になっている可能性を挙げた。実際に今回の調査で、セキュリティチェックにかかる年間の管理コストを尋ねたところ、「1000万円以上」が19%、「500万円〜1000万円未満」が30%、「100万円〜500万円未満」が27%、「100万円未満」が13%という結果になった。500万円以上と回答した企業が約半数であったことから、「サプライチェーンリスクの対策コストがかかってしまうことが、対策を明確化できない要因になっている」(村井氏)とも考えられる。
また、その他の要因として村井氏は、そもそも多くのサプライヤーが製品供給先の顧客企業から監査を求められていないことが影響している可能性についても言及した。調査で顧客からサプライチェーンリスクに関して求められる対策や監査の程度を尋ねると、国内外の顧客から「対策を依頼されているが監査までは求められていない」という回答が全体の約55%を占めた。
セキュリティインシデントが発生した場合の被害額について、企業がどのように想定しているかも尋ねた。「1億円以上」と回答したのが全体の14%で、「5000万円〜1億円未満」が17%、「1000万円〜5000万円未満」が19%、「100万円〜1000万円未満」が14%、「100万円未満」が9%、「分からない」が27%となった。約半数の企業が被害額として1000万円以上を想定しており、また「1億円以上」と想定する企業も14%存在したことから、村井氏は「ランサムウェアなどによるセキュリティ被害が、企業にとって大きな負担になると考えられている」と説明する。
一方で全体の約3割は「分からない」と回答している。村井氏は「自社の現状を把握しきれていない企業も存在する。(サプライチェーンにとって)潜在的なリスクになり得る」と指摘した。
こうした状況を踏まえて、タニウムでは「サイバーハイジーン」を意識した対策の重要性を訴えている。村井氏によると、サイバーハイジーンはサイバーセキュリティ対策のプロセスの内、「識別」と「防御」を重視するもので、「対応」や「復旧」に焦点を当てた「サイバーレジリエンス」とは対応領域がやや異なってくる。具体的には保有する端末機器などエンドポイントの把握や監視、脆弱性の把握などが該当する。
村井氏は「うがいや手洗いのようなもので、リスク予防の効果があり、カナダのサイバーインシデントレスポンスチーム(CCIRC)や米国の国土安全保障省(CISA)などの公的機関においてもリスク低減効果があると推奨されている」と説明した。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「NIST SP 800-171」で国内産業のサイバーセキュリティ対策はどう変わるのか
ランサムウェアなどによるサプライチェーン攻撃のリスクが高まる中、「NIST SP 800-171」への注目度が増している。同セキュリティガイドラインは国内産業にどう影響するのか、トレンドマイクロの担当者に話を聞いた。 - サプライチェーンから外されないためのサイバーセキュリティ対策
サプライチェーンの安全性確保を目的としたサイバーセキュリティ対策は「プロセス」と「エコシステム」の2つの観点から取り組む必要がある。特に最近では、大企業の要請で対策に取り組む中小企業も少なくない。対策を怠りチェーンから外されることは大きな経営リスクだ。 - 他組織の安全性も確認を、広がるサプライチェーンへのサイバー攻撃リスク
トレンドマイクロは2022年1月12日、2021年に生じたサイバーセキュリティに関する主要な動向について解説するセミナーを開催した。増加するサプライチェーン経由のサイバー攻撃について説明するとともに、こうした攻撃の被害が、1社にとどまらず業界全体に波及する可能性を指摘した。 - グローバルサプライチェーンにおける知的財産盗用のリスク
全世界にサプライチェーンが広がる中、サイバーセキュリティに対するリスクは急速に高まっています。本連載では、知財の専門家が製造業のサプライチェーンに潜む情報漏えいリスクにどう向き合うかについて紹介。第1回では、企業の知財保護を支援するNPO法人CREATe.orgが、情報漏えいがどのように起こるかを解説します。 - インダストリー4.0では、サプライチェーンを“丸ごと認証”する時代へ進む
インダストリー4.0を含むIoTによる製造業のビジネス革新の動きが加速している。IoTによる価値を最大化するためには「つながり」を実現することが最初のステップとなるが、その動きで重要となるのが標準化と認証である。創立150周年を迎える第三者認証機関であるTUV SUD(テュフズード)の会長であるシュテプケン氏と、同社CDOのシュルシンガー氏に、IoTによる製造業の変化とそれに伴う「認証」の考え方について話を聞いた。 - 自動車業界にセキュリティ意識調査、不十分な対応やリソース不足が目立つ
シノプシス(Synopsys)は2019年2月20日、東京都内で会見を開き、自動車業界のセキュリティの取り組み状況に関する調査結果を発表した。調査はSAE(米国自動車技術会)と共同で、グローバルの自動車メーカーやサプライヤーなどを対象に実施した。