SecurityScorecard株式会社 ( https://securityscorecard.com/jp/ ) （本社：米国、ニューヨーク州、CEO：アレクサンドル・ヤンポルスキー、以下SecurityScorecard、日本法人代表取締役社長　藤本 大）は、2024年11月21日、日本企業が直面するサードパーティ由来のサイバーリスクの実態を分析した最新調査「日本におけるサードパーティ由来の サイバーセキュリティ侵害に関するレポート ( https://jp.securityscorecard.com/research/third-party-cyber-risk-landscape-of-japan/ )」を発表しました。

2024年2月に発表された「世界のサードパーティ サイバーセキュリティ侵害に関するレポート ( https://jp.securityscorecard.com/research/third-party-cyber-risk/ ) 」では、日本はサードパーティ由来のデータ侵害がデータ侵害全体の48%を占め、世界平均の29%を大きく上回っていることが明らかになりました。今回のレポートでは、日本におけるサードパーティ由来のデータ侵害が他国と比べて多く発生している背景を探り、サードパーティ由来のサイバーリスクへの理解促進を図っています。

本レポートの主な調査結果及び日本企業に向けた対策への推奨事項は、以下の通りです。

主な調査結果

• サードパーティ由来の侵害の割合が急増：日本において、昨年発生した160件のデータ侵害のうち66件（41%、上記に対して大規模なサンプルサイズなど極端な外れ値を調整後）は、サードパーティ由来の攻撃が原因
• テクノロジー製品とテクノロジーサービスがリスクを増大：使用している他社製のテクノロジー製品およびテクノロジーサービスが日本におけるサードパーティ由来のデータ侵害の主な原因で、データ侵害の58%を占める。また、3分の1（33%）は日本企業の子会社や買収先によるもので、主に海外で活動する企業が関与
• テクノロジーおよびメディア企業が攻撃の標的に：テクノロジー、メディア、通信業界がサードパーティ由来のデータ侵害に最も脆弱で、全体の4分の1以上（26%）を占める。次いで製造、自動車、建設業界が24%、小売およびホスピタリティ業界が17%
• ランサムウェアと国家支援の攻撃が主な原因：日本におけるサードパーティ由来のデータ侵害の73%は、ランサムウェアを悪用する犯罪グループによるものであり、残りの27%は北朝鮮や中国から国家支援を受けるグループに関連

日本企業へのサイバーセキュリティ対策に関する推奨事項

• リスク起源を優先管理：サードパーティのテクノロジーベンダーや海外の子会社・買収先に対するリスク管理を重視し、サードパーティからの侵害リスクの軽減
• 子会社や買収先のセキュリティを強化：すべての事業体で一貫したセキュリティ基準を施行し、ネットワークのセグメンテーションによって横断的な移動を制限し、ネットワークアクセスを必要最低限に制限
• 業界固有のサードパーティ由来のリスクに対応：業界特性に合わせたリスク管理戦略を立案。製造業や自動車業界ではサプライチェーンのサイバー障害に備え、テクノロジー業界では内部資産および顧客対する防御を重視し、流通・ホスピタリティ業界ではEコマースおよび決済処理ベンダーに向けて厳格な審査を行い、顧客の機密データを保護
• 国家支援の脅威に対抗：国家支援の攻撃者は、高度なセキュリティ体制を敷く対象への侵入手段としてサードパーティの脆弱性を悪用することが多いため、防衛や金融などのセンシティブな業界では、サードパーティベンダーにも同等のセキュリティ基準を適用し、リスクの低減を図る
  
  
  

本レポートは、こちらからダウンロードの上、参照ください。
https://jp.securityscorecard.com/research/third-party-cyber-risk-landscape-of-japan/

SecurityScorecard、VP, International Marketing橋本詩保は、次のように述べています。
「日本は世界経済において重要な位置を占めており、そのためサイバー脅威の主なターゲットとなっています。組織のセキュリティ態勢は、最も脆弱な個所、つまりサードパーティおよびフォースパーティベンダーにおけるセキュリティ次第で決まります。パートナーに自社と同等の厳格なセキュリティ基準を求めることが、侵害を防ぎ、日本経済の安定には不可欠です」

その他のリソース

• 「世界のサードパーティ サイバーセキュリティ侵害に関するレポート ( https://jp.securityscorecard.com/research/third-party-cyber-risk/ ) 」（2024年2月発表）
• SecurityScorecard の脅威インテリジェンスの詳細については、当社の Web サイトをご覧ください (https://securityscorecard.com/platform/threat-landscape/ ) （英語ページへ）
  

SecurityScorecard のThreat Research, Intelligence, Knowledge, and Engagement(STRIKE) チームについて
独自の脅威インテリジェンス、インシデント対応の経験、サプライチェーンのサイバーリスクに関する専門知識を兼ね備えています。SecurityScorecardのテクノロジーに支えられたSTRIKEチームは、世界中のCISOの戦略的アドバイザーとなり、STRIKE チームによる脅威調査を基に、組織にサプライ チェーンのサイバー リスクと攻撃者の特性に関してアドバイスを行っています。

SecurityScorecardについて
Evolution Equity Partners、Silver Lake Partners、Sequoia Capital、GV、Riverwood Capitalなど、世界トップクラスの投資家から出資を受けたSecurityScorecardは、サイバーセキュリティ レーティングにおけるグローバルリーダーであり、Supply Chain Detection and Response（SCDR・サプライチェーンにおける検知・対応）ソリューションのパイオニアです。
セキュリティとリスクの専門家であるアレクサンドル・ヤンポルスキー博士とサム・カッスーメによって2013年に設立されたSecurityScorecardの特許取得済みセキュリティレーティングテクノロジーは、企業のリスク管理、サードパーティリスク管理、取締役会報告、デューデリジェンス、サイバー保険の引き受け、規制当局の監視のために25,000以上の組織で使用されています。
SecurityScorecardは、企業におけるサイバーセキュリティ・リスクの理解、改善を促進し、取締役会、従業員、ベンダーに伝える方法を変革することで、世界をより安全にすることを目指します。https://jp.securityscorecard.com/

日本法人社名 ： SecurityScorecard株式会社（セキュリティスコアカード）
本社所在地 ： 東京都千代田区丸の内一丁目 1 番 3 号
代表取締役社長 ： 藤本 大