ESGリスクトピックス 2024年度 No.8

ここでは以上のトピックの中から「日本企業のソフトウェアサプライチェーンにおける脆弱性と過信が明らかに」をご紹介します。

本企業のソフトウェアサプライチェーンにおける脆弱性と過信が明らかに

BlackBerry Japanは2024年9月25日、日本企業のソフトウェアサプライチェーンにおけるサイバーセキュリティの脆弱性を浮き彫りにする調査結果^※1を公表した。この調査は、日本企業が直面しているソフトウェアサプライチェーンセキュリティのリスクと、CIO などの IT 意思決定者が自社のセキュリティに対して抱く過信の実態を明らかにしている。

調査によれば、IT意思決定者の74%が過去12カ月間にソフトウェアサプライチェーン攻撃^※2や脆弱性の通知を受けている。また、これらの攻撃により、ウェブブラウザ、IoT機器・システム、およびオペレーティングシステムなどが組織に悪影響を及ぼしている。

そのようなリスク環境にもかかわらず、85%の回答者が、サプライヤーが侵害を受けた場合、1日以内に通知されると期待している。また、半数以上の54%が1週間以内に脆弱性の悪用から完全に復旧できると考えているが、実際には40%の組織が復旧に1カ月を要している。

さらに、日本の IT 意思決定者の大多数（97%）は、サプライヤーのサイバーセキュリティポリシーが自社で実施されているものと同等、あるいはより強力であると考えており、95%がサプライヤーの脆弱性への対策能力を高く評価していることがわかった。その一方で、80%の企業がサプライチェーン内に認識していなかった隠れたサプライヤーを発見しており、これはサプライチェーンの複雑さと潜在的なリスクを示している。

これらの調査結果は、日本企業がサプライチェーンの可視性を高め、セキュリティ対策を強化する必要があることを強く示唆している。

1）この調査は、北米、イギリス、フランス、ドイツ、マレーシア、日本の1,000人のIT意思決定者およびサイバーセキュリティ専門家を対象に実施された。
2）ソフトウェアサプライチェーン攻撃とは、攻撃者がソフトウェア開発会社（サプライヤー）のシステムに侵入し、納品物であるソフトウェアや更新プログラムに不正を施すことで、ソフトウェアの利用企業に被害をもたらす攻撃手法である。

【参考情報】
2024年9月25日付 BlackBerry Japan株式会社「BlackBerry 調査、日本企業の74%が過去 12 カ月間にソフトウェアサプライチェーン攻撃や脆弱性に直面」
https://www.blackberry.com/ja/jp/company/newsroom/press-releases/2024/blackberry-survey~