見えないものを保護することはできません。PwC 2022 Global Digital Trust Insights Surveyのほとんどの回答者は、サードパーティリスク(ビジネスパートナーシップやベンダー/サプライヤーネットワークの複雑さにより隠されているリスク)の把握が困難であると回答しています。
正式かつ全社的なアセスメントによって、サードパーティによるデータ侵害のリスクを完全に把握していると答えた回答者は40%にとどまりました。4分の1近くが、これらのリスクの全てをほとんど、または全く把握していないと回答しています。サードパーティによるデータ侵害のリスクは、サイバー攻撃者が十分に認識し、悪用しようと画策している重大な死角です。
回答者の56%は、ソフトウェアサプライチェーンへの攻撃を起因として報告されるインシデントが2022年に増加すると予想していますが、このリスクに対する自社のエクスポージャーを正式に評価していたのは34%にとどまります。クラウドサービスへの攻撃の急増を予測していたのは57%ですが、正式なアセスメントに基づいてクラウドセキュリティリスクを把握していると答えた回答者は37%のみでした。
一方、「最も進展した」企業は注意を払い、行動を起こしており、サードパーティに関するリスクを十分に把握していると答えた割合がそれ以外の企業に比べて11倍高くなっています。その約4分の3が、6つの分野のうち5つで、サードパーティに関するリスクを詳しく把握していると回答しました。
また、「nth-party」リスク(サプライヤーのサプライヤーなどが将来もたらすリスク)の理解についてのみ、リスクを把握している割合は低下し、「最も進展した」企業では69%、その他に関して31%となりました。関係が複雑になればなるほど、そこに潜むリスクが見えにくくなる傾向があります。
複雑なビジネスエコシステムがもたらす脅威の増大に対応していると答えた回答者は、全体の半分以下(30%~46%)でした。これらの回答者たちは、将来よりも現在に注力した対応を実施しているとみられます。サードパーティに関するリスクをどのように最小化しているかという質問に対しては、サプライヤーのコンプライアンスを監査/検証する(46%)、サードパーティと情報共有する/サイバースタンスの改善を他の方法で支援する(42%)、サイバーレジリエンスに対するコストや時間に関するの課題に対処する(40%)など、主に受け身の回答が見られました。
「オンボーディング時と継続的な評価の基準について改善している」という回答が上位回答の1つとして挙げられ(42%)、積極的で、長期的にメリットが得られると考えられます。特に上場企業(47%)ではこの段階にあると回答する傾向が目立ちました。
それでも、半数以上の企業は、サードパーティのリスク管理により永続的な影響を与えられるような行動を取っていません。サードパーティの評価基準を改善しておらず(58%)、契約の書き換えも行わず(60%)、デューデリジェンスの厳格化も行っていません(62%)。一方、「最も進展した」企業は、列挙された7つの行動の全てを実行した割合がそれ以外の企業と比べて5倍高くなっています。
先進的な取り組みを行った企業は、サイバーセキュリティ領域においてその他企業に比べて2倍以上の進展を見て取ることができた。
サードパーティへの依存度は高まり続けています。APIを通じたデジタルインタラクションの普及と低コスト化により、複数ノードのパートナーシップ(リスクが隠れているポイント)を確立する企業内の「トランザクション」コストは減少しています。
現在トレンドとなっているサイバー攻撃の標的は、これまでで最も悪質と言えるかもしれず、信頼できるベンダー、サプライヤー、請負業者のサプライチェーンを標的としています。その武器は何でしょうか。多くの人が完全に当たり前だと考えている、ソフトウェアのアップデートです。受ける被害はどのようなものでしょうか。ランサムウェアによるサイバー犯罪者への身代金支払い、他国家への貴重な情報の流出、AIモデルのトレーニングデータの競合他社への流出などが挙げられます。Atlantic Councilによると、過去10年間におけるソフトウェアサプライチェーンに対する攻撃や開示の60%は、ベンダーや乗っ取られたアップデートによるものでした。欧州ネットワーク・情報セキュリティ庁(ENISA)は、2021年7月21日のレポートで、2021年のサプライチェーン攻撃は2020年の攻撃数の4倍になると予測しました。
企業は、自社のサイバー防御能力が優れている場合でも、サプライチェーン攻撃に対して脆弱である可能性があります。攻撃者は単純に、サプライヤーを通じて企業への新しい経路を見つければいいからです。ソフトウェアベースの攻撃を検出して阻止することは非常に難しく、複雑で解明しにくい可能性があります。これは、どのソフトウェアでも全てのコンポーネントが、ソフトウェアに統合され、その動作に必要なコードライブラリ、パッケージ、モジュールなどその他のコンポーネントに依存しているためです。
過去2年間にサイバーセキュリティで最高の成果を上げた企業は、スリム化に向けた措置としてテクノロジーベンダーを統合していました。テクノロジーやその他のサードパーティの数を減らすことで、複雑さが軽減され、それらがどの程度安全であるか把握できるようになります。1つのメリットとして、さまざまな部署(調達、リスクマネージャー、詐欺対策チーム、法務、セキュリティ)が、サイバー障害からサプライチェーンを保護するにあたり自身の役割をより理解できるようになることが挙げられます。また、監視するベンダーの数が減るため、企業がより効率的にセキュリティ対策を監視できるようになります。
サードパーティとの関係や依存関係を可視化することは必須です。大手のサイバーセキュリティ企業は、ソリューション(リアルタイムの脅威インテリジェンス、脅威ハンティング、セキュリティ分析、脆弱性管理、侵入検知・対応)を幅広いプラットフォームに統合しています。
最後に、優れた慣行が伴うとより効果的です。PwCのUS Digital Trust Insights Surveyでは、より先進的なデータトラストプラクティスを備えた回答者が複数の点で際立っていました。これらの企業は、サードパーティとの取引関係数を大幅に減らし、監視を強化し、サードパーティの評価を徹底し、サードパーティのリスク管理プログラムが過去2年間で具体的な成果を示したことに確信を持っていました。プログラムには、コスト削減の推進、ビジネスイニシアチブの迅速な実施、顧客の信頼性向上、市場支配力の強化などが含まれます。
可視性には、他者がどのような課題に直面しているのか、その課題を解決するために何をしているのか確認できることも含まれます。協力者は、サイバービジネスエコシステムの重要な一部になり得ます。2021年初頭の重大なサイバーインシデントに関して、官民連携と政府の対応に助けられた企業や連邦機関に意見を聞いてみてください。情報のタイムリーな共有は、重要インフラであるかどうかを問わず、サイバーセキュリティ全般に関係します。
しかし、官民連携の取り組みがサイバーセキュリティ目標の達成に「非常に効果的に」役立っていると答えた回答者は、3分の1に届きませんでした。ただし、過去2年間にサイバーセキュリティで最高の成果を上げた企業は、官民連携の目標を「非常に効果的に」達成した割合がそれ以外の企業と比べて34倍高くなっていました。
2022年にサイバーセキュリティ予算を増やした企業は、以下の目標を「非常に効果的」に達成したと答える割合が非常に高くなっていました。
「非常に効果的な」協力者には、テクノロジー・メディア・通信の協力者、年間売上高が50億ドル以上の企業、そして、より広範なサイバーセキュリティ意識の向上と人材のスキルアップの観点から、女性の回答者も含まれます。
提案された規則や規制に関して政府や政策立案者に影響を与えることについて、中小企業は大企業よりも実効性が低いことを認識しており、年間売上高が10億ドル未満の企業の回答者は、この影響力の行使について「あまり効果がない」と答える割合の高さが目立ちました(7%)。これに対して、10億ドル以上の企業では4%、50億ドル以上の企業では3%となっています。
COO、サプライチェーン担当の経営層の場合
CRO、CISOの場合
※本コンテンツは、How well do you know the risks posed by your third parties and supply chain?を翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。
