サイバー攻撃の対象拡大に伴い、世界中の組織は、データ漏洩などさまざまなサイバーセキュリティの脅威に直面しています。日経225上場企業・機関も同様で、最近の国際情勢によって、そのリスクはさらに高まっています。 企業の脆弱性は企業自身よりもハッカーの方が詳しく認識しているのです。
SecurityScorecardが日経225構成銘柄の金融、製造、医療、重要インフラ、運輸の各業界の企業を対象にした調査によると、サイバーセキュリティレーティングのスコアは概ね良好な結果でした。しかし、30%が「C」で、7%は「D」または「F」評価と不合格であることも明らかになりました。
以下が、調査の主な結果です。
- 日経 225上場企業の63% がサイバーセキュリティにおいて高評価(AまたはB)を得ているのに対し、30%がC、7%が不合格(DまたはF)
- 運輸業が最も低評価となり、47%がC以下
- 金融業は評価が高く、C以下はわずか10%
- 昨年、日経 225の金融、製造、医療、重要インフラ、運輸業界の企業のうち10社がドメインハッキングを受けており、そのうち9社は製造業
- 重要インフラ関連企業はサードパーティ由来の侵害が最も多く(100%)、最も少なかったのは製造業(83%)
- A評価の40社が過去1年間データ侵害をまったく受けていない
サイバーセキュリティレーティングとは
サイバーセキュリティレーディングとは、ネットワークセキュリティ、マルウェアの侵入の可能性、パッチの適用頻度など、さまざまなファクターに基づいて企業をランク付けするフレームワークのことです。
この格付けによって自社のサイバーセキュリティの脆弱性だけでなく、プライチェーン・ベンダーの脆弱性も容易に可視化できるようになります。また、格付けによって企業は自社のサイバーセキュリティ体制を継続的に監視し、リスクを優先順位に則り対処できるようになり、データに基づいたビジネス上の意思決定が可能になります。
サイバーセキュリティレーディングは、金融機関の信用格付けにたとえられることがあります。信用格付けが低いと債務不履行になる可能性が高いことを示すのと同様に、サイバーセキュリティレーティングの低さは、データ侵害やその他のサイバー関連で不利益を被る確率が高くなります。
サプライチェーンのリスクはサードパーティ以外にも拡大
通常、サプライチェーンにおいて査定を受けるのはほとんどがサードパーティのベンダーですが、フォースパーティのベンダーもデジタルサプライチェーン上に重大なリスクをもたらします。
SecurityScorecard の調査によると、製造業の83%がドメインに対してサードパーティ由来のデータ侵害の影響を受け、また、85%がドメインに対してフォースーパーティ由来のデータ侵害の影響を受けています。
こうした事実は、インシデントを回避するために、サードパーティベンダーにサービスを提供するすべての企業に対してセキュリティ体制の確認と評価が重要であることを明確に示しています。
本調査によると、運輸業の47%がC以下と評価されており、また、重要インフラ企業の100%がサードパーティ由来のデータ侵害を経験しています。これらの企業は国の重要インフラを構成しており、こうしたインフラは社会基盤となっています。社会が機能し続けるには、市民がこれらのサービスや制度の安全性を信頼できなければなりません。
リスクを軽減し、サイバーセキュリティ体制を全体的に強化するために、SecurityScorecardは、企業がアプリケーションセキュリティとネットワークセキュリティを優先的に改善すること、ドメインネームシステム(DNS)設定の正常性と完全性を確保すること、すべてのエンドポイントセキュリティを強化すること、パッチ適用を頻繁に行うことを推奨しています。
スコアに関係なく、すべての日経225企業は自社のスコアだけでなく、スコアに影響を与える要因を知る必要があります。脅威の状況が進化する中、セキュリティレーティングとサードパーティ監視ツールは、サイバーセキュリティへの積極的な取り組みとして注目されています。
私たちは、すべての日経225企業がサイバーセキュリティを強靭にし、より安全で協力的な世界に貢献する可能性を秘めていると確信しています。
著者プロフィール
藤本 大(SecurityScorecard株式会社 日本法人代表取締役社長)
1996年に日本電信電話株式会社に入社し、東日本電信電話株式会社、NTTコミュニケーションズ株式会社で法人営業に従事。 製造業、サービス業、金融業等の大手日本企業や外資企業を担当し、ネットワークサービスのみならず様々なセキュリティサービスを提供。 2017年にファイア・アイ株式会社に入社、パートナー営業部長として主に大手通信事業者とのパートナービジネスの拡大に貢献。 2020年7月1日にSecurityScorecardに入社し、2021年6月24日より現職。1971年長崎県長崎市生まれ。青山学院大学国際政治経済学部卒業