Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

サプライチェーンが破られるのは当然

何とも恐ろしい調査結果が出ていましたが、インシデントベースで考えると、日本企業は危ないとの私感ともそんなにブレてない結果でもありました。

www.nikkei.com

 

大阪商工会議所は10日、取引先のサイバーセキュリティー対策に関する調査結果をまとめた。取引先のサイバー攻撃の被害を把握していない企業は約7割だった。最も多い理由が社内規定で把握すべき事項を明確化していないため取引先のサイバー攻撃の被害が自社に及んだ企業は25%にのぼる。日本へのサイバー攻撃が増えるなか、サプライチェーン全体での対策強化が課題となる。

(日経記事より引用)

 

■公式発表 「サプライチェーンにおける取引先のサイバーセキュリティ対策等に関する調査」結果について 

 

◆キタきつねの所感

このデータは、何社にばら撒いた結果の118社回答なのか分かりませんが、ソコソコ出来ているであろう従業員100人以上の企業の結果としては、怖いものがありますサプライチェーンのセキュリティ状況については、約7割の企業が把握できてないというのは、東京五輪を来年、あるいは来年のWindows7サポート切れなども含めて考えると、サプライチェーンへのあるいは、サプライチェーン企業を詐称した標的型攻撃がさらに増えそうな気がします。

 

その他、気になるデータとしては、サプライチェーンが関与して自社が影響を受けているという部分がありました。

「取引先がサイバー攻撃被害を受け、それが自社に及んだ経験」がある企業は4社に1社(25%)。内容は、標的型メール(15 社)、詐欺的誘導メール(13 社)など。その結果、「情報漏洩」(5 社)、システムダウン(3 社)、データ損壊(3 社)など実害も出ている。

(公式発表より引用)

 

このデータから言えるのは、サプライチェーン攻撃は(一部で)成功しており、今後も拡大していくという事でしょうか。約10%の企業が実害を出しているにも関わらず、

Q10 中小企業のサイバーセキュリティーは今後どうしていくべきだと思いますか?
●60%が「中小企業自身が自衛すべき」と回答。次いで「国や自治体が支援すべき」(45%)、「IT 企業や損保会社が安価・簡便なセキュリティサービスを提供すべき」(30%)、「商工会議所など支援機関が支援すべき」(27%)と続いている。

(公式発表より引用)

 

自社で何とかするしかないという回答が6割を占めるというのは、国や自治体の支援があてにならないという事を指しており、東京五輪が開催されサイバー攻撃の増加が予想される来年は、もう間に合わなくなりつつあるという事に他なりません。

 

回答企業の多くは、大企業というより中堅企業である様で、従業員100人~1000人未満の企業が占める割合が半分(52%)を占めます。サプライチェーンが大きな1万人以上の大企業は、この調査データ上では10%弱しか回答してませんので、自社のサプライチェーンに対するセキュリティ意識がどうなっているのかは分かりませんが、

f:id:foxcafelate:20190512105651p:plain

自社のサプライチェーンからの攻撃(影響)を考えて、もっと大企業がリードして中小企業のセキュリティ意識(投資)を上げていく必要がある気がします。

 

そのためには、単にコスト重視だけを自社のサプライヤーに求めるのではなく、一定以上のセキュリティ体制に場合によっては対価を払う、そんな事も必要なのだと思います。

 

併せて行政のサポートももう少し、企業のセキュリティ体制向上へ実効性がある規制をかけるべきなのかも知れません。

 

 

余談ですが、今回の調査結果を発表した大商・・・

 大商は「中小が自衛するには資金も人材も限られている」とし、今年度中にもセキュリティー支援の実証実験を始める方針。
SankeiBiz記事より引用)

良い取り組みだとは思いますが、今年度から?というモヤモヤした所を感じました。

 

 

 

å´©ãã人éãã©ãããã®ã¤ã©ã¹ã

 

 

更新履歴

  • 2019年5月12日AM(予約投稿)