エンドポイントセキュリティ製品ベンダー、米Taniumの日本法人、タニウムは2022年8月24日、「サプライチェーンリスクに関する市場調査」の結果を発表した。調査によると、9割弱の企業がサプライチェーンのセキュリティリスクを認知している一方で、7割を超える企業は対策をとっていないことが分かった。また、サプライチェーンに対するガバナンスを徹底できている企業は8%にとどまっている。
タニウムは「サプライチェーンリスクに関する市場調査」を、企業のサイバーセキュリティ意思決定者6711人を対象に実施し、有効回答数659件を得た。同調査は、2022年6月1日~6月20日にかけて、Webアンケートで実施した。これによると、9割弱の企業がサプライチェーンのセキュリティリスクを認知していた。一方、既に対策を実施できている企業は全体の3割弱にとどまり、7割を超える企業は対策をとっていなかった(図1)。
図1:サプライチェーンのセキュリティリスクへの対策状況(出典:タニウム)拡大画像表示
ガバナンスの範囲については、サプライチェーンに対してガバナンスを徹底できている企業は8%だけだった(図2)。業界別では「流通・小売・商社」が14%と2桁に達したが、それ以外はいずれも10%未満だった。
図2:ガバナンス(統制)の範囲。サプライチェーンを含める企業は8%だけ(出典:タニウム)拡大画像表示
3年後のガバナンスの範囲についての現在の計画状況も聞いたが、それでもサプライチェーンまでガバナンスを徹底する意向を持つ組織は全体の12%に過ぎなかった。実際のセキュリティガバナンスの範囲は、本社とグループ会社まで(国内+グローバル)が全体の約8割を占めた。
セキュリティインシデントの被害額については、約半数の組織が1000万円以上を被害総額として経験・想定していた(図3)。1億円以上の被害総額を回答した企業も14%に上った。この一方で、全体の3割の企業は「インシデント被害額を想定できない」と回答した。
図3:セキュリティインシデント発生時に想定する被害額(出典:タニウム) タニウムは、サプライチェーンのセキュリティリスク対策として有効な製品・サービス分野として「サイバーハイジーン(衛生管理)」を挙げる。IT資産管理やパッチ適用などの運用管理製品を使い、エンドポイントの状態を定常的に把握し、パッチの適用やセキュアな設定を徹底してサイバー攻撃に備える、という考え方を指している。
