BlackBerry Japan 株式会社
日本企業のソフトウェアサプライチェーンにおける脆弱性と過信が明らかに
BlackBerry Japan株式会社(本社:東京都港区、執行役員社長 Area Vice President:吉本 努、以下 BlackBerry)は、日本企業のソフトウェアサプライチェーンにおけるサイバーセキュリティの脆弱性を明らかにする新たな調査結果を発表しました。本調査によると、日本のIT意思決定者の大多数(74%)が過去12カ月間にソフトウェアのサプライチェーンにおける攻撃や脆弱性の通知を受けていることが明らかになりました。
AI時代におけるサプライチェーンの複雑化とセキュリティリスク
自動車や電子機器などの主要産業がソフトウェア定義化を進め、より高い計算能力を必要とするにつれ、AIや半導体などの最先端技術への需要が加速しています。しかし、相互に接続されたソフトウェアサプライチェーンの複雑さと、半導体製造のような高成長分野におけるグローバルな依存関係が組み合わさり、脅威アクターにとって魅力的な標的となっています。特筆すべきは、この調査で日本企業の23%がIoTデバイスや接続されたコンポーネントの脆弱性によって最大の影響を受けたことが明らかになったことです。
主な調査結果
1. 攻撃の頻度と回復への過度の期待:
- 日本の回答者の74%が過去12カ月間にソフトウェアサプライチェーン内の脆弱性や攻撃の通知を受けています。
- 日本の経営者の85%がサプライヤーの侵害から1日以内に通知されることを期待しており、54%が1週間以内に完全回復できると考えています。
2. 脆弱性の影響:
- 24%の企業がウェブブラウザの脆弱性が最大の影響を与えたと報告(世界平均21%)
- オペレーティングシステム(20%)とIoT/接続コンポーネント(23%)の脆弱性も大きな影響
3. サプライヤーのセキュリティに対する過信:
- 65%のITリーダーが自社のサプライヤーのセキュリティポリシーが同等以上と認識
- 97%がサプライヤーの脆弱性特定・防止能力に自信
4. 隠れたサプライチェーンの実態:
- 80%の企業が以前認識していなかったサプライチェーン参加者を発見
5. セキュリティ対策の実施:
- データ暗号化(58%)、スタッフトレーニング(50%)、多要素認証(48%)が主な対策
6. ソフトウェア環境の管理:
- 20%がリアルタイム、35%が毎月のインベントリを実施
- 26%が四半期ごと、6%が3~6カ月ごとにインベントリを実施
サプライヤーのセキュリティに対する過信
調査結果によると、ソフトウェアサプライチェーン攻撃後、ウェブブラウザ(24%)、IoT/接続コンポーネント(23%)、およびオペレーティングシステム(20%)が日本の組織に最大の影響を与え続けており、ウェブブラウザの脆弱性は世界平均の21%を上回っています。
これらの重大な影響にもかかわらず、日本のITリーダーは非現実的な回復期待を持っています。85%がサプライヤーが侵害を受けた場合、1日以内に通知されることを期待しており、これは世界の数字80%よりも高くなっています。さらに、半数以上(54%)が1週間以内に脆弱性の悪用から完全に回復できると考えています。しかし、ほぼ5社に2社(40%)の組織が、回復に1カ月かかっています。
隠れたサプライチェーンとセキュリティ対策の欠如
日本のITリーダーの大多数(97%)は、サプライヤーのサイバーセキュリティポリシーが自社で実施されているものと同等、またはより強力であると考えています。そして、95%の回答者が、サプライヤーの脆弱性への対策能力を高く評価しています。
しかし、80%の企業が以前は認識していなかったサプライチェーン内の隠れたサプライヤーを発見しており、サプライチェーンの複雑さと潜在的なリスクを如実に示しています。
そして、多くの企業がソフトウェアサプライチェーンでの脅威から企業を守るために、データ暗号化(58%)、スタッフのトレーニング(50%)、多要素認証(48%)などの様々な取り組みをおこなっています。
ソフトウェア環境のインベントリをほぼリアルタイム(20%)または毎月(35%)実施していると回答した企業がある一方で、約3分の1(26%)は1~3カ月ごとにのみこのプロセスを完了し、10社に1社(6%)は3~6カ月ごとにこのプロセスを完了すると回答しています。
しかし、懸念すべきことに、日本企業の4分の1(26%)が、オンボーディング段階でのみ、サプライヤーにセキュリティ認証への準拠の証拠を一度しか求めていません。
BlackBerry Japanの執行役員社長 Area Vice President 吉本努は次のように述べています「この調査結果は、日本企業がソフトウェアサプライチェーンセキュリティにおいて直面しているリスクだけでなく、セキュリティに対して抱いている過信も明らかにしています。サプライヤーのセキュリティ能力に対する高い信頼度と、実際に発見された隠れたサプライヤーの割合とのギャップは注目に値します。これらの調査結果は、日本企業がサプライチェーンの可視性を高め、高度なAI搭載のサイバーセキュリティソリューションで、セキュリティ対策を強化する必要があることを強く示唆しています」
調査結果は日本企業がより強固なセキュリティ対策を必要としていることを示唆していますが、多くの組織はサイバーセキュリティのスキル不足に直面し続けています。BlackBerryは、AI搭載のマネージド検知および応答(MDR)を通じて、あらゆる規模の企業がこれらの課題に効果的に対処できるよう支援しています。訓練された専門家による24時間365日の脅威監視を提供し、リソースの限られたITチームがソフトウェアサプライチェーンで発生する新たな脅威に取り組み、複雑なセキュリティインシデントに対処できるよう支援します。
CylanceMDRについて、詳しくはwww.blackberry.com/cylance-mdrをご覧ください。
*この調査は2024年4月に、BlackBerryの依頼を受けてColeman Parkesが実施しました。北米(アメリカとカナダ)、イギリス、フランス、ドイツ、マレーシア、日本の1,000人のIT意思決定者およびサイバーセキュリティの専門家を対象としています。
BlackBerryについて
BlackBerryは、世界中の企業や政府機関向けに、インテリジェントなセキュリティソフトウェアとサービスを提供しています。BlackBerryのソリューションは、2億3,500万台の自動車に搭載されています。カナダ・オンタリオ州ウォータールーに本社を置く同社は、AIと機械学習を活用して、サイバーセキュリティ、安全性、およびデータプライバシーソリューションの分野で革新的なソリューションを提供しています。さらに、エンドポイントのセキュリティ管理、暗号化、組み込みシステムなどの主要分野をリードしています。詳細についてはBlackBerry.comをご覧いただくと同時に、@BlackBerryをフォローしてください。
BLACKBERRYおよびEMBLEM Designなどの商標(ただし、これらに限定されない)は、BlackBerry Limitedの商標または登録商標です。また、このような商標に対する独占的権利が明確に留保されています。その他すべての商標は各社の所有物です。BlackBerryは第三者のいかなる製品またはサービスについて責任を負うものではありません。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
