日本企業のソフトウェアサプライチェーンにおける脆弱性と過信が明らかに

サイバーセキュリティの脆弱性を浮き彫りにする調査結果を公表

この調査は、日本企業が直面しているソフトウェアサプライチェーンセキュリティのリスクと、CIOなどのIT意思決定者が自社のセキュリティに対して抱く過信の実態を明らかにしています。

調査によれば、IT意思決定者の74%が過去12ヵ月間にソフトウェアサプライチェーン攻撃（注2）や脆弱性の通知を受けています。また、これらの攻撃により、ウェブブラウザ、IoT機器・システム、およびオペレーティングシステムなどが組織に悪影響を及ぼしています。

そのようなリスク環境にもかかわらず、85%の回答者が、サプライヤーが侵害を受けた場合、1日以内に通知されると期待しています。また、半数以上の54%が1週間以内に脆弱性の悪用から完全に復旧できると考えていますが、実際には40%の組織が復旧に1ヵ月を要しています。

さらに、日本のIT意思決定者の大多数（97%）は、サプライヤーのサイバーセキュリティポリシーが自社で実施されているものと同等、あるいはより強力であると考えており、95%がサプライヤーの脆弱性への対策能力を高く評価していることがわかりました。その一方で、80%の企業がサプライチェーン内に認識していなかった隠れたサプライヤーを発見しており、これはサプライチェーンの複雑さと潜在的なリスクを示しています。

これらの調査結果は、日本企業がサプライチェーンの可視性を高め、セキュリティ対策を強化する必要があることを強く示唆しています。

MS&ADインターリスク総研株式会社発行のESGリスクトピックス2024年11月（第8号）を基に作成したものです。

（参考情報：2024年9月25日付　BlackBerry Japan株式会社「BlackBerry調査、日本企業の74%が過去12カ月間にソフトウェアサプライチェーン攻撃や脆弱性に直面」https://www.blackberry.com/us/en/regions/ja/newsroom/press-releases/2024/blackberry-survey-reveals-74-percent-japanese-companies-notified-software-supply-chain-vulnerabilities-attacks-past-12-months

（注1）この調査は、北米、イギリス、フランス、ドイツ、マレーシア、日本の1,000人のIT意思決定者およびサイバーセキュリティ専門家を対象に実施された。

（注2）ソフトウェアサプライチェーン攻撃とは、攻撃者がソフトウェア開発会社（サプライヤー）のシステムに侵入し、納品物であるソフトウェアや更新プログラムに不正を施すことで、ソフトウェアの利用企業に被害をもたらす攻撃手法である。

【関連記事】