日経225上場企業におけるサイバーセキュリティの現状とは

サイバー攻撃の対象拡大に伴い、世界中の組織は、データ漏洩などさまざまなサイバーセキュリティの脅威に直面しています。日経225上場企業・機関も同様で、最近の国際情勢によって、そのリスクはさらに高まっています。 企業の脆弱性は企業自身よりもハッカーの方が詳しく認識しているのです。

SecurityScorecardが日経225構成銘柄の金融、製造、医療、重要インフラ、運輸の各業界の企業を対象にした調査によると、サイバーセキュリティレーティングのスコアは概ね良好な結果でした。しかし、30％が「C」で、7％は「D」または「F」評価と不合格であることも明らかになりました。

以下が、調査の主な結果です。

• 日経 225上場企業の63％ がサイバーセキュリティにおいて高評価（AまたはB）を得ているのに対し、30％がC、7％が不合格（DまたはF）
• 運輸業が最も低評価となり、47％がC以下
• 金融業は評価が高く、C以下はわずか10％
• 昨年、日経 225の金融、製造、医療、重要インフラ、運輸業界の企業のうち10社がドメインハッキングを受けており、そのうち9社は製造業
• 重要インフラ関連企業はサードパーティ由来の侵害が最も多く（100％）、最も少なかったのは製造業（83％）
• A評価の40社が過去1年間データ侵害をまったく受けていない

サイバーセキュリティレーティングとは

サイバーセキュリティレーディングとは、ネットワークセキュリティ、マルウェアの侵入の可能性、パッチの適用頻度など、さまざまなファクターに基づいて企業をランク付けするフレームワークのことです。

この格付けによって自社のサイバーセキュリティの脆弱性だけでなく、プライチェーン・ベンダーの脆弱性も容易に可視化できるようになります。また、格付けによって企業は自社のサイバーセキュリティ体制を継続的に監視し、リスクを優先順位に則り対処できるようになり、データに基づいたビジネス上の意思決定が可能になります。

サイバーセキュリティレーディングは、金融機関の信用格付けにたとえられることがあります。信用格付けが低いと債務不履行になる可能性が高いことを示すのと同様に、サイバーセキュリティレーティングの低さは、データ侵害やその他のサイバー関連で不利益を被る確率が高くなります。

サプライチェーンのリスクはサードパーティ以外にも拡大

通常、サプライチェーンにおいて査定を受けるのはほとんどがサードパーティのベンダーですが、フォースパーティのベンダーもデジタルサプライチェーン上に重大なリスクをもたらします。

SecurityScorecard の調査によると、製造業の83％がドメインに対してサードパーティ由来のデータ侵害の影響を受け、また、85％がドメインに対してフォースーパーティ由来のデータ侵害の影響を受けています。

こうした事実は、インシデントを回避するために、サードパーティベンダーにサービスを提供するすべての企業に対してセキュリティ体制の確認と評価が重要であることを明確に示しています。

本調査によると、運輸業の47％がC以下と評価されており、また、重要インフラ企業の100％がサードパーティ由来のデータ侵害を経験しています。これらの企業は国の重要インフラを構成しており、こうしたインフラは社会基盤となっています。社会が機能し続けるには、市民がこれらのサービスや制度の安全性を信頼できなければなりません。

リスクを軽減し、サイバーセキュリティ体制を全体的に強化するために、SecurityScorecardは、企業がアプリケーションセキュリティとネットワークセキュリティを優先的に改善すること、ドメインネームシステム（DNS）設定の正常性と完全性を確保すること、すべてのエンドポイントセキュリティを強化すること、パッチ適用を頻繁に行うことを推奨しています。

スコアに関係なく、すべての日経225企業は自社のスコアだけでなく、スコアに影響を与える要因を知る必要があります。脅威の状況が進化する中、セキュリティレーティングとサードパーティ監視ツールは、サイバーセキュリティへの積極的な取り組みとして注目されています。

私たちは、すべての日経225企業がサイバーセキュリティを強靭にし、より安全で協力的な世界に貢献する可能性を秘めていると確信しています。