※本リリースは、米国時間2024年5月2日に米国SecurityScorecardより発表されたプレスリリース ( https://securityscorecard.com/company/press/2024-securityscorecard-research-adversaries-exploit-third-party-vulnerabilities-to-maximize-the-stealth-speed-and-impact-of-ransomware-attacks/) の抄訳です。
SecurityScorecard株式会社(
https://securityscorecard.com/jp/ )(本社:米国、ニューヨーク州、CEO:アレクサンドル・ヤンポルスキー、以下SecurityScorecard、日本法人代表取締役社長 藤本 大)は、
米McKinsey & Companyと共同で実施した「2024年版 レジリエンスの再定義:グローバル経済におけるサイバーリスクの集中 (
https://securityscorecard.com/resource/redefining-resilience-concentrated-cyber-risk-in-a-global-economy/ ) 」(英文のみ)に関する調査結果を発表しました。今回実施した脅威に関する調査では、サイバーリスクがわずか15社に極度に集中しており、国家安全保障と世界経済に深刻な脅威をもたらしていることが明らかになりました。また、本調査では、攻撃者がサードパーティの脆弱性を悪用することで、サプライチェーンに対するサイバー攻撃のステルス性、スピード、インパクトを最大化していることも判明しました。
SecurityScorecardのCEO兼共同設立者であるアレクサンドル・ヤンポルスキー博士は、次のように述べています。「崖っぷちに建つ不安定な家屋のように、グローバル経済の基盤は、一握りのベンダーへの依存で形成されています。問うべきは、"ミッションクリティカルなサービスを単一のベンダーに集中させ、たった一つでも脆弱なポイントを作り出していないか "ということです」
山火事のように広がるサードパーティの脆弱性
脅威分析官はSecurityScorecardのプラットフォームを使用して、約1,200万の組織におけるサプライチェーンのサイバーリスクを特定しました。主な調査結果は、以下のとおりです:
- 世界で攻撃対象となったテクノロジー製品とサービスの90%を150社で占める
- 上記企業のうち41%において、過去1年間に少なくとも1台でもデバイスが不正アクセスを受けたと判明
- 11%が過去1年間にランサムウェアに感染
- 世界における攻撃対象の62%が、わずか15社の製品とサービスに集中
- 上位15社のサードパーティのサイバーセキュリティリスク評価は平均以下であり、侵害される可能性が高いことが判明
- ランサムウェアを悪用している攻撃者集団であるC10p、LockBit、BlackCatは、サードパーティの脆弱性を組織的に大規模に狙っています。インターネットに接続されたデバイスは、5分以内に国家に支援を受けている攻撃者集団の脅威にさらされる可能性が
これら企業はその規模の大きさゆえに、侵害のリスクを増幅させ、広範な顧客層に重大なサードパーティリスクをもたらしています。広範な攻撃対象領域を防御することは、最も強固なセキュリティ・チームにとっても手ごわい課題となります。これら企業は、常に完璧なセキュリティ態勢を維持しなければならない一方で、攻撃者は、その広大な攻撃対象領域内のたった一つの脆弱性を悪用するだけでよいのです。
サードパーティ起因のリスクに備える
McKinsey & Companyによると、企業は年間数十万ドルをベンダーやサードパーティのエコシステムのサイバーリスクの管理に費やし、数百万ドルをサイバープログラムに費やしていますが、10億ドル規模のビジネスを成り立たせるには、最も小規模なベンダーのサイバーセキュリティですらおろそかにすることは出来ないと言うことです。
サプライチェーンのサイバーセキュリティ対策には、4つの重要なステップが必要です:
- 脆弱なポイントの特定
- 外部からの攻撃を継続的に監視
- 新規ベンダーの自動検出
- ベンダーのサイバーセキュリティ管理の運用
Mckinsey & Companyのパートナーであるチャーリー・ルイス(Charlie Lews)氏は、上記に加え、次のように述べています。「デジタル環境における相互接続性は、企業のサイバーエコシステムリスクに対する考え方の転換を求めています。もはや自社の回復力だけでなく、より広範なシステムを考慮し、従業員、競合他社、ベンダーとの相互支援をどのように構築するかを検討する必要があります」
追加資料:
SecurityScorecardについて
Evolution Equity Partners、Silver Lake Partners、Sequoia Capital、GV、Riverwood Capitalなど、世界トップクラスの投資家が出資するSecurityScorecardは、サイバーセキュリティの格付け、対応、回復力におけるグローバルリーダーであり、1200万社以上の企業が継続的に格付けを受けています。
セキュリティとリスクの専門家であるアレクサンドル・ヤンポルスキー博士とサム・カッスーメによって2013年に設立されたSecurityScorecardの特許取得済みセキュリティレーティングテクノロジーは、企業のリスク管理、サードパーティリスク管理、取締役会報告、デューデリジェンス、サイバー保険の引き受け、規制当局の監視のために25,000以上の組織で使用されています。
SecurityScorecardは、企業におけるサイバーセキュリティ・リスクの理解、改善を促進し、取締役会、従業員、ベンダーに伝える方法を変革することで、世界をより安全にすることを目指します。SecurityScorecardは、Federal Risk and Authorization Management Program (FedRAMP) Readyの指定を受け、顧客情報を保護するための同社の強固なセキュリティ基準を強調し、米国のCybersecurity & Infrastructure Security Agency (CISA)によって無料のサイバーツール (
https://www.cisa.gov/resources-tools/resources/free-cybersecurity-services-and-tools ) およびサービスとして登録されています。すべての組織は、信頼性と透明性の高いInstant SecurityScorecardの評価を受ける普遍的な権利を有しています。www.securityscorecard.com/jp/
日本法人社名 : SecurityScorecard株式会社(セキュリティスコアカード)
本社所在地 : 東京都千代田区丸の内一丁目 1 番 3 号
代表取締役社長 : 藤本 大