パロアルトネットワークスは2022年8月4日、セキュリティ調査分析レポート「サプライチェーンリスクジャパンレポート2022」を公開した。サプライチェーンリスクへの懸念が高まっていることを受け、国内の民間企業や自治体などに所属するセキュリティ意思決定者を対象に調査を実施した。これによると、重要インフラや製造を中心に、63%がサプライチェーンセキュリティインシデントを経験していることが分かった。
パロアルトネットワークスの「サプライチェーンリスクジャパンレポート2022」は、国内企業を対象に、サプライチェーン上のセキュリティリスクを調査して分析したレポートである。サプライチェーンリスクが事業・組織運営に与える影響と、対策上講ずべき課題を把握する目的の下、企業や自治体などに所属するセキュリティ意思決定者を対象に実施した。
図1:業種別のサプライチェーンセキュリティインシデントの発生率(出典:パロアルトネットワークス)
Original Post>
調査のサマリーとして、重要インフラや製造を中心に、63%がサプライチェーンセキュリティインシデントを経験していた。特に、水道・ガス・電力をはじめとする重要インフラや製造業において、インシデントの発生率が高かった(図1)。
この結果について同社は、「コロナ禍で加速したデジタル化やリモートワークといったビジネスニーズの変化、自由化による産業構造の変化などを背景に、サプライチェーンリスクが増大していることが考えられる」と分析している。
Subscribe to get access
Read more of this content when you subscribe today.
サプライチェーン全体を通したIT資産の把握は困難
調査では、サプライチェーンリスクへの対策上の課題も聞いている。上位の1位から3位までは、「すべてのサプライチェーンを把握しきれない」(28%)、「取引先に対策を強制できない」(26%)、「すべてのIT資産を可視化しきれない」(25%)だった(図3)。
図3:サプライチェーンのリスク対策における課題(出典:パロアルトネットワークス)
拡大画像表示
この結果について同社は、「取引先や下請業者、自社の業務部門などがそれぞれクラウドインスタンスなどを管理しており、こうした無数に存在するIT資産の把握自体が困難。また、一貫したセキュリティレベルをサプライチェーン全体に適用することも難しい」と指摘している。
注意喚起だけでなく技術的な具体策への着手が急務
Subscribe to get access
Read more of this content when you subscribe today.
一方で、「アタックサーフェスマネジメント」(11%)、「ゼロトラスト戦略の検討・採用」(15%)などの施策の実施率は低い。これに対して同社は、「可視性や実効性を高める技術的な具体策への着手が、サプライチェーンリスク対策において急務」と指摘している。