なぜ日本だけサードパーティー侵害が突出するのか? その背景にある根深い慣習

ランサムウェア激化に伴い、関連会社を含めたサプライチェーンのセキュリティ確保は急務となっている。しかし日本企業にはこれを阻む幾つかのハードルがある。それは一体何か。

» 2024年06月07日 10時33分 公開
[田渕聖人ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 ランサムウェアをはじめとしたサイバー脅威が激化する今、自社だけでなく子会社や取引先を含めたサードパーティー(サプライチェーン)のセキュリティ確保は喫緊の課題となっている。例えば、2022年3月に発生したトヨタ自動車の取引先である小島プレス工業のランサムウェア被害は記憶に新しい。トヨタ自動車はこの影響を受けて国内全14工場28ラインを丸一日停止した。

 ただ、こうしたサードパーティーを狙ったサイバー攻撃の詳細は報道ではなかなかその実態が見えてこない。具体的にはどのような業界や脆弱(ぜいじゃく)性が狙われているのだろうか。

 SecurityScorecardの日本法人で代表取締役社長を務める藤本 大氏が同社が公開したグローバル調査レポート「世界のサードパーティサイバーセキュリティ侵害に関するレポート」を基に、日本企業のサードパーティー侵害の実態を語った。

日本だけサードパーティー侵害が突出 その背景にある根深い慣習

――調査の概要をお聞かせください。

藤本氏: 今回の調査は2023年10〜12月にグローバルで収集したサイバー侵害490件を対象としており、そのうち日本が受けた攻撃は44件となっています。サイバー侵害の中でもサードパーティー侵害に焦点を当て、脅威全体においてサードパーティー侵害がどのくらいの頻度で起こっているかを調査し、業界や地域ごとにその頻度の変動を特定し、サードパーティー侵害の頻度が高い外部関係を明らかにしました。

 調査によると、サイバー侵害のうち29%以上がサードパーティー由来の攻撃に起因していました。この数字はグローバルのもので国や地域によって基本的に大きな差はないのですが、日本では48%と世界全体の割合を大きく上回る結果となりました。

――このような結果になった背景には何があると考えているのでしょうか。

藤本氏: 現時点で明確な答えはありませんが、日本企業のビジネスモデルは、元請けや下請け、孫請け、ひ孫請けのような多重構造になっているケースが多く存在します。この特徴がサードパーティー由来でのサイバー侵害が他の地域よりも多いというところにつながっていると予測しています。

 この他、企業内の人材のリソースやスキルといった問題も関係している可能性があります。米国や欧州などではユーザー企業がセキュリティ人材を多く抱えている一方で、日本のユーザー企業においてはITやセキュリティを外部に委託するケースも多く、自社やグループ会社、取引先のセキュリティ管理をしっかりと実施できる人材が不足しています。

国別に見たサードパーティー侵害の割合(出典:SecurityScorecardの日本法人の発表資料)

――調査結果では英国は9%と非常に低い数字になっています。

藤本氏: 特に金融業に顕著なのですが、英国は各金融機関や金融サービスを提供する企業に対してさまざまなレギュレーションを科しています。これを受けて金融機関や金融関連サービス企業は、関連する取引先を含めたサードパーティーに対して非常に厳しいセキュリティ基準を要求しています。

 ここが日本との大きな違いで、日本の場合は下請法があることも関係しているのか、資本関係がない取引先に対してセキュリティ強化を要求することに遠慮している部分があるようにも思えます。実際、当社が日本でのビジネスを始めた2020〜2021年頃は、「取引先を含めた他社のセキュリティ状況について外部の会社が口出しするなんてとんでもない」という声がありました。

 しかし、2022年頃から情報処理推進機構(IPA)の「情報セキュリティ10大脅威」や経済産業省が公開した「サイバーセキュリティ経営ガイドライン」などのドキュメントがサプライチェーン全体のセキュリティ強化の重要性を訴えるようになった他、小島プレス工業のインシデントが発生したことで少しずつ潮流が変わり始めました。

――サプライチェーンセキュリティに注目が集まる一方で企業としてはどのような課題を抱えているのでしょうか。

藤本氏: 多くの企業では自社でセキュリティガイドラインを定め、これをグループ会社に求めたり、取引先にはこれに準じた内容を求めていたりします。ただし、これが守れているかどうかについては、年に1回、あるいは多いところで四半期に1回、アンケート形式で確認している程度が実態です。

 このやり方ではスポットでの観測しかできず、サプライチェーンのセキュリティ状況を継続的に把握するのは困難です。これを解消するにはアンケートの頻度を増やせばいいのですが、チェックする側もされる側も工数がかかり大変手間がかかるため、アンケートをおざなりになってしまうこともあります。

――アンケートで回答された内容が必ずしも企業の実態に合っていない可能性があるということですね。

藤本氏: はい。確認のしようがないので、アンケートで答えられたものを信じるしかないというのが従来のサプライチェーンリスク管理の状況です。つまりサプライチェーンセキュリティを強化するには、リアルタイムかつ継続的に実態に即した内容で、立場の異なるステークホルダー間でのコミュニケーションを取るための“共通言語”が必要になるでしょう。

――本日はありがとうございました。

この他の「世界のサードパーティサイバーセキュリティ侵害に関するレポート」の調査結果についてはこちら(英語版)から確認できる。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ