経済産業省のレポート「サプライチェーン対策強化制度の基本構想(案)」では、企業間のデジタル連携が進みサプライチェーンが広がることから、各企業がサプライチェーン全体の強靭性を確保し、対策状況を見える化することで、セキュリティ全体の底上げを図るべきだと提言している。しかし現実には、サイバー攻撃はますます巧妙化かつ高度化しており、それに伴い求められるセキュリティ対策も増え、対応の難易度が上がっている。そのため「すべての対策を完璧に実施するのは難しい」という声も少なくない。
特に脆弱性診断は、最も重要なセキュリティ対策の項目の一つだが、実際には多くの組織で効果的に実施されていないのが現実だ。その背景には、専門知識やスキル、人材が不足していること、デジタル化が進み、企業全体のリリースサイクルが高速化し、そのスピードに対策が追い付かないことがある。特に効果的な脆弱性診断を実施し、その結果を対策に生かすには、高度なスキルを有する人材が必要とされるため、アウトソースに頼らざるを得ないというケースも多い。
エーアイセキュリティラボ 提供資料
サプライチェーンリスク拡大中!
それでも脆弱性対策が進まない3つの理由と解決法
> > 資料の閲覧はこちら
しかし、脆弱性診断はその性質上、継続的に実施する必要がある。また網羅性を高めることで診断精度も向上するため、コストが際限なく上昇する場合もある。 理想的なのは、専門的な知識がなくても業務部門の担当者を含めた適切な脆弱性診断の実施が可能で、そのプロセスの多くが自動化されているようなツールの導入だ。
実際、総合物流業の企業や、スポーツ用品メーカーでは、WebシステムやWebサイトにおける脆弱性診断の課題に直面していた。そこで診断の自動化・内製化ツールを導入したところ、コストの削減だけでなく、診断精度の向上も実感できるようになったという。
* * *
本コンテンツでは、サプライチェーン全体を見通したセキュリティ強化の必要性について、あらためて指摘するとともに、その中でも重要となる脆弱性診断が効果的に実施されていない現状とその理由について解説している。併せて、脆弱性診断を自動化・内製化する必要性について提起し、その実践に向けた取り組み、推奨されるツールを、事例を交えて紹介しているので、参考にしてほしい。
エーアイセキュリティラボ 提供資料
サプライチェーンリスク拡大中!
それでも脆弱性対策が進まない3つの理由と解決法
> > 資料の閲覧はこちら