日本企業のソフトウェアサプライチェーンにおける脆弱性と過信が明らかに

調査によれば、IT意思決定者の74%が過去12カ月間にソフトウェアサプライチェーン攻撃^※2や脆弱性の通知を受けている。また、これらの攻撃により、ウェブブラウザ、IoT機器・システム、およびオペレーティングシステムなどが組織に悪影響を及ぼしている。

そのようなリスク環境にもかかわらず、85%の回答者が、サプライヤーが侵害を受けた場合、1日以内に通知されると期待している。また、半数以上の54%が1週間以内に脆弱性の悪用から完全に復旧できると考えているが、実際には40%の組織が復旧に1カ月を要している。

さらに、日本の IT 意思決定者の大多数（97%）は、サプライヤーのサイバーセキュリティポリシーが自社で実施されているものと同等、あるいはより強力であると考えており、95%がサプライヤーの脆弱性への対策能力を高く評価していることがわかった。その一方で、80%の企業がサプライチェーン内に認識していなかった隠れたサプライヤーを発見しており、これはサプライチェーンの複雑さと潜在的なリスクを示している。

これらの調査結果は、日本企業がサプライチェーンの可視性を高め、セキュリティ対策を強化する必要があることを強く示唆している。

1）この調査は、北米、イギリス、フランス、ドイツ、マレーシア、日本の1,000人のIT意思決定者およびサイバーセキュリティ専門家を対象に実施された。
2）ソフトウェアサプライチェーン攻撃とは、攻撃者がソフトウェア開発会社（サプライヤー）のシステムに侵入し、納品物であるソフトウェアや更新プログラムに不正を施すことで、ソフトウェアの利用企業に被害をもたらす攻撃手法である。

【参考情報】
2024年9月25日付 BlackBerry Japan株式会社「BlackBerry 調査、日本企業の74%が過去 12 カ月間にソフトウェアサプライチェーン攻撃や脆弱性に直面」
https://www.blackberry.com/ja/jp/company/newsroom/press-releases/2024/blackberry-survey~