ソフトウェアサプライチェーンセキュリティの現状 [調査]

原文のブログはこちらからご覧いただけます。

2024 年のソフトウェアサプライチェーンセキュリティは、どのような状況にあるでしょうか? BlackBerry の新たな調査で、ソフトウェアサプライチェーンの 75% 以上が過去 12 カ月の間にサイバー攻撃を受けていたことが明らかになりました。2022 年に行われた類似の調査と比較から、ソフトウェアサプライチェーンの保護に関する進展と常にある課題の両方が明らかになっています。

現代の相互に接続されたデジタル環境において、ソフトウェアサプライチェーンのセキュリティは、サイバーセキュリティ専門家と企業にとって最大の懸念事項となっています。サードパーティーのベンダーやサプライヤーへの依存はさまざまな脆弱性をもたらしており、それらのリスクを管理し、緩和するための堅固な対策の確立は不可欠です。

新たな調査：ソフトウェアサプライチェーンのセキュリティ確保の現状

BlackBerry の今回の調査では、IT 部門の上級意思決定者とサイバーセキュリティ専門家のリーダー 1,000 人から回答を得ました。その目的は、ソフトウェアサプライチェーンの内側で起こるセキュリティ侵害リスクの低減のために企業が用いている手法を明らかにすることにあります。

攻撃後の復旧

調査の結果、半分強（51%）の企業が侵害から 1 週間以内に復旧できていますが、2 年前の 53% から僅かに減少しています。これに対して、40% 弱の企業は復旧に 1 カ月以上を要しており、前回の 37% から増加しています。これらの結果から、侵害への迅速な対応と、通常業務への復帰に企業が引き続き苦戦していることがわかります。

懸念されるのは、攻撃の 4 分の 3 弱（74%）が、侵害前には企業が認識していなかった、もしくは監視していなかったソフトウェアサプライチェーンのメンバーから発生したものであることです。このことは、可視化と監視の実施を強化する必要性を浮き彫りにしています。

データの暗号化（52%）、スタッフのセキュリティ意識向上のための研修（48%）、多要素認証（44%）などを実施する取り組みにも関わらず、これらの対策だけではサプライチェーン攻撃を防ぐには不十分であることが証明されました。BlackBerry、プロダクトセキュリティ担当副社長、Christine Gadsbyは次のように述べています。「企業がソフトウェアサプライチェーンのサイバーセキュリティを監視して管理する上では、単に信頼だけに頼ることはできません。IT リーダーは、可視化の欠如の解消に優先的に取り組む必要があります」

ビジネスへの影響

サプライチェーン攻撃の結果は重大であり、以下のようにさまざまな形でビジネスに影響を与えます。

·       金銭的損失（64%）

·       データの損失（59%）

·       信用の毀損（58%）

·       業務への影響（55%）

これらの数字は、サプライチェーンの侵害に関連するリスクがその性質上多岐にわたること、そして包括的なセキュリティ戦略が不可欠であることを示しています。

監視による信頼度の向上

興味深いことに、今回の調査から、脆弱性を特定し防止するサプライヤーの能力への信頼度が、回答者の間で高いことがわかりました。3 分の 2 強（68%）が自社のサプライヤーに対する強い信頼を表明しており、サプライチェーンパートナーがサイバーセキュリティの適切な規制と法令遵守の慣行を遵守していることを確信できると感じている回答者は63% いました。

この信頼は、主に定期的な監視の慣行に起因しています。今回の調査によると、41% の企業は、サプライチェーンパートナーに対し、サイバーセキュリティ慣行の遵守に関する証明を四半期ごとに要求しています。多くの場合、この要求にはSBOM（ソフトウェア部品表）や VEX（Vulnerability Exploitability eXchange）のアーティファクトも含まれ、サプライヤーが堅牢なセキュリティ対策を維持していることを確認しています。

効果的な監視を妨げるもの

しかし、定期的なソフトウェアインベントリと効果的な監視を妨げる、いくつかの要因も存在しています。回答者が挙げたのは次の要因です。

·       技術的理解の欠如（51%）

·       可視性の欠如（46%）

·       効果的なツールの欠如（41%）

監視機能を強化し、サプライチェーンのセキュリティを確保するには、こういった阻害要因に対処することが不可欠です。

ソフトウェアサプライチェーンの保護：進展と残存課題

ソフトウェアサプライチェーンのセキュリティは現代の企業にとって重要な懸念事項であり、BlackBerry による調査の結果から、進展のあった点と残された課題が明らかになりました。

こちらの動画では、BlackBerry のプロダクトセキュリティ担当副社長であるChristine Gadsby とともに、ソフトウェアサプライチェーンセキュリティに対する BlackBerry のアプローチと、サプライチェーンセキュリティに関するその他のトレンドについてより詳しく説明しています。ぜひご覧ください。

関連記事

• ソフトウェアサプライチェーンのセキュリティ：注目すべき 3 つのトレンドとは
• ウェビナー: Global Threat Intelligence Report Deep Dive | June 2024（グローバル脅威インテリジェンスレポート解説　2024年6月版）
• AI をめぐる攻防：攻撃者 VS 防御者

同様の記事やニュースの配信を希望される場合は、BlackBerryブログの購読をご検討ください。

ご質問はこちらから、お気軽にお問合せください：https://www.blackberry.com/ja/jp/forms/enterprise/contact-us

• 攻撃や感染した事故対応はこちらまで　サイバーセキュリティチームによるコンサルティングサービス: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
• ランサムウェア対策: https://www.blackberry.com/ja/jp/solutions/malware
• BlackBerry Japan：https://www.blackberry.com/ja/jp
• Facebook（日本語）: https://www.facebook.com/watch/BlackBerryJPsec/
• Twitter（日本語）: https://twitter.com/BlackBerryJPsec
• LinkedIn: https://www.linkedin.com/company/blackberry/
• YouTube（日本語）: https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos
• セミナーやトレーニング情報はこちらをご覧ください。