技術系専門家はサプライチェーンのセキュリティに低い信頼感 - TechRepublic

技術系専門家はサプライチェーンのセキュリティに低い信頼感 - TechRepublic
データセキュリティ
画像: アンドリー・オヌフリエンコ/ゲッティイメージズ

セキュリティの脅威により、過去 2 年間にわたり企業が直面してきたサプライ チェーンの課題は深刻化しており、ISACA の新しい調査レポートによると、調査対象となった IT プロフェッショナルのうち、自社のサプライ チェーンのセキュリティに高い信頼を置いているのはわずか 44% です。

さらに、ITガバナンスに重点を置く専門団体の報告書によると、回答者の30%は自社のリーダーがサプライチェーンのリスクを十分に理解しておらず、将来もそれほど良くはないと答えており、53%は今後6か月間、サプライチェーンの問題は変わらないか悪化するだろうと述べている。

ISACAによると、この報告書にはサプライチェーンに詳しい1,300人以上のIT専門家からの回答が含まれており、そのうち25%が過去12か月間に組織がサプライチェーン攻撃を経験したと述べている。

調査回答者は、主な懸念事項として次の 5 つのサプライ チェーン リスクを挙げました。

  1. ランサムウェア(73%)
  2. サプライヤーの情報セキュリティ対策が不十分(66%)
  3. ソフトウェアのセキュリティ脆弱性(65%)
  4. サードパーティのデータストレージ(61%)
  5. 情報システム、ソフトウェア コード、または IP への物理的または仮想的なアクセス権を持つサードパーティのサービス プロバイダーまたはベンダー (55%)

「私たちのサプライチェーンは常に脆弱でしたが、COVID-19パンデミックによって、セキュリティ上の脅威を含む様々な要因によって、サプライチェーンがどれほどのリスクにさらされているかがさらに明らかになりました」と、ISACA元理事長、NACD理事会リーダーシップフェロー、そしてホワイトクラウド・セキュリティ取締役会エグゼクティブチェアマンを務めるロブ・クライド氏は声明で述べています。「企業にとって、この変化するリスク環境を理解するために時間をかけること、そして組織内に存在する可能性のあるセキュリティ上のギャップを検証し、優先順位を付けて対処することが不可欠です。」

参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)

より良いガバナンスが必要

対策を講じるにあたっては、84%が自社のサプライチェーンのガバナンスを現状よりも強化する必要があると回答しました。また、5社中1社近くが、サプライヤー評価プロセスにサイバーセキュリティとプライバシーの評価が含まれていないと回答しました。

さらに、回答者の39%は、サイバーセキュリティ事象発生時にサプライヤーとインシデント対応計画を策定しておらず、60%はサプライヤーとサプライチェーンベースのインシデント対応計画の調整と実践を行っていないと回答しました。回答者のほぼ半数(49%)は、自社がサプライチェーンの脆弱性スキャンと侵入テストを実施していないと回答しました。

「サプライチェーンのセキュリティリスク管理には、定期的なサイバーセキュリティとプライバシーの評価、そしてインシデント対応計画の策定と調整といった多角的なアプローチが必要です。これらはすべてサプライヤーと緊密に連携して実施する必要があります」と、IP Architectsの社長であり、ISACAの新興トレンドワーキンググループのメンバーでもあるジョン・ピロンティ氏は声明で述べています。「組織のサプライヤーと強固な関係を築き、継続的なコミュニケーションチャネルを確立することは、レビュー、情報共有、そして改善策を円滑かつ効果的に実施するための重要な要素です。」

参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)

ITサプライチェーンのセキュリティを強化する方法

ピロンティ氏は、IT サプライ チェーンのセキュリティ強化に取り組む際に組織が実行すべき重要な手順をいくつか概説しました。

  1. 知らないものを守ることはできません。サプライヤーとその提供能力の一覧を作成し、維持管理しましょう。
  2.  オープンソース ソフトウェア コンポーネントの開示を要求します。
  3. ビジネスにとって重要な第三者の脅威と脆弱性の分析を実施します。
  4. サプライ チェーン契約の技術的および組織的対策契約補足書類を作成します。
  5. 信頼しつつも検証しましょう。主要な第三者機関に対して、証拠に基づくレビューを実施しましょう。

「デジタルトラストを推進するには、すべてのシステムとサプライヤーのセキュリティ、整合性、可用性に対する一定の信頼が必要です」と、ISACAのCEOであるデビッド・サミュエルソン氏は声明で述べています。「過去のインシデントからわかるように、顧客はサプライチェーンの一部への攻撃と自社システムへの攻撃を区別していません。今こそ、サプライチェーンのセキュリティとガバナンスを向上させるために、迅速かつ有意義な行動をとるべき時です。」

Tagged: