サプライチェーンセキュリティ強化を阻む最大障壁とは？ SecurityScorecard調査：セキュリティニュースアラート

SecurityScorecardは「2025年サプライチェーンサイバーセキュリティトレンド調査」を発表した。回答者の88％がサプライチェーンに関連するサイバーリスクについて懸念を示していることが判明した。

[後藤大地，有限会社オングス]

　SecurityScorecardは2025年7月9日、「2025年サプライチェーンサイバーセキュリティトレンド調査」を発表した。同調査は、年間売上高2億ドル未満から50億ドル超の世界各国の大企業に所属するサイバーセキュリティ責任者546人を対象に、サプライチェーンにおけるサイバーリスクの管理状況と課題を明らかにしている。

サプライチェーンセキュリティ強化を阻む最大障壁とは？

　調査結果によると、回答者の88％がサプライチェーンに関連するサイバーリスクについて懸念を示しており、70％以上の組織が過去1年間にサードパーティーに起因する重大なサイバーインシデントを少なくとも1件経験していた。この他、5％の組織は10件以上のインシデントを経験していることが分かった。

　N次サプライチェーン（多層サプライチェーン）全体の把握状況については、自社のN次サプライチェーンのうち半分以上のセキュリティ状況を把握できている組織は全体の50％未満で

、79％の組織ではN次サプライチェーン全体の半分以下しかサイバーセキュリティプログラムの対象に含まれていないことが判明している。サプライチェーンに関するサイバーセキュリティプログラムにインシデント対応を組み込んでいる組織は26％にとどまっている。

　情報過多と脅威の優先順位付けの難しさも課題として挙げられ、40％近くの回答者がこれを最大の障壁として認識している。

　少数のベンダーが広範なテクノロジーとインフラを支えるという現状において、単一のプロバイダーが攻撃を受けるだけで多くの組織に影響が及ぶ可能性がある。防御側が多層的なネットワーク全体を保護しなければならないが、攻撃者は1つの脆弱（ぜいじゃく）性を突くだけで済むという構造的な非対称性を浮き彫りにしている。

　SecurityScorecard最高脅威インテリジェンス責任者のライアン・シャーストビトフ氏は次のように述べている。

　「サプライチェーンを狙ったサイバー攻撃はもはや一過性の出来事ではなく、日常的な脅威だ。しかし多くの組織ではサードパーティーに対するリスク管理が依然として受動的であり、特定時点での評価やコンプライアンスチェックリストに重点が置かれているため、侵害が後を絶たない。この時代遅れの静的なアプローチでは、動的に進化する脅威には対応することが難しくなっている。今こそ必要なのは能動的な防御体制への転換だ。具体的には、サードパーティーのリスク管理チームとSOCを連携させ、継続的な監視と脅威インテリジェンスをリアルタイムの対応に連動させることが不可欠だ」

　SecurityScorecardはサプライチェーンセキュリティの課題に対応するために次のようなセキュリティ対策を推奨している。

• 脅威インテリジェンスの統合：　サプライチェーン全体を網羅する脅威インテリジェンスフィードをベンダーリスク管理ワークフローに統合、ランサムウェアやゼロデイ攻撃の兆候をリアルタイムで検知する
• 専用のインシデント対応体制を確立：　サプライチェーンに関するリスクを速やかに解決するため、組織内で役割と責任を明確化し、対応プロセスの継続的な検証と改善を実施する
• ベンダー階層化（ティアリング）とリスクの優先順位付け：　サプライチェーンマップを作成し、リスクの高い依存関係や障害点を特定し、重要度に応じたリソース配分と重点的な対策を実行する
• レジリエンスの文化と部門連携の推進：　調達や法務、オペレーション、経営層を含めた部門間の連携の下、サイバーセキュリティを意思決定プロセスに組み込み、共通指標に基づく評価と教育を実施する