新しい調査により、マレーシアのソフトウェアサプライチェーンを保護する重要性が明らかに
原文のブログはこちらからご覧いただけます。
BlackBerry の委託で実施された最近の調査により、マレーシアの組織に対するサプライチェーンに特化したサイバー攻撃の深刻さが明らかになり、こうした攻撃に対抗する予防的対策の重要性が浮き彫りになりました。これらの洞察は、マレーシアにおける2024年サイバーセキュリティ法(Cyber Security Act 2024)の導入およびCybersecurity Center of Excellence の開設と相まって、国家のサイバーセキュリティ体制強化のためのロードマップを提供します。
BlackBerry の新しい調査で明らかになった問題の範囲
数百名の IT およびサイバーセキュリティのリーダーを対象に実施した BlackBerry の調査の結果が、7 月 31 日に基調演説を行った NACSA サイバーセキュリティサミットで初めて公表され、マレーシアのソフトウェアサプライチェーンの 4 分の 3 以上(79%)が、ここ 12 カ月間にサイバー攻撃を受けていることが明らかになりました。この数字は世界平均の 76% をわずかに上回っています。さらに憂慮すべきことに、回答者の 81% が、ソフトウェアサプライチェーンでこれまで認識されていなかった隠れたメンバーを特定しており、これは世界で最も高い数字でした。このようなサプライチェーンの未知な部分は、サイバー脅威の潜在的な入り口となる可能性があるため、重大なリスクをもたらします。
サプライチェーン攻撃が与える財務面と運用面への影響
ソフトウェアサプライチェーン攻撃の影響は甚大です。マレーシアの組織のほぼ 5 分の 2(38%)が、このような攻撃からの回復に最大 1 カ月を要しました。財務面の影響は深刻で、71% の組織が財務上の損失を報告しており、66% が風評被害を経験し、59% がデータの損失に見舞われています。この統計の結果は、こうしたリスクを軽減するためのサイバーセキュリティ対策の強化が急務であることを浮き彫りにしています。
マレーシアの 2024 年サイバーセキュリティ法の役割
2024 年サイバーセキュリティ法の制定によって、マレーシアはサイバーセキュリティの枠組みを強化するための重要な一歩を踏み出しました。この法律の目的は、国家の重要な情報インフラのサイバーレジリエンスを強化することです。この法律は、NSS(国家半導体戦略)などの取り組みに支えられ、マレーシアが今後10年間で世界的な半導体大国となるための環境を整えます。NSS は、IT サプライチェーンを保護するという広範な目標に合わせて、IoTコンポーネントを対象としたセキュリティバイデザインによるソフトウェアプラクティスを強調しています。
サイバーセキュリティ対策に関する専門家の洞察
NACSA の最高責任者である Megat Zuhairy bin Megat Tajuddin 博士は、マレーシアのサイバーレジリエンスを向上させる上で 2024 年サイバーセキュリティ法がいかに重要であるかを強調しています。
「半導体製造や AI(人工知能)などの分野でリーダーになるため、マレーシアは世界的な責任を共有していることも認識しています。それは、コンプライアンスの改善、テクノロジーの採用、BlackBerry との連携によるCybersecurity Center of Excellence などのスキルとトレーニングの取り組みを通じて、ソフトウェアサプライチェーンを保護し、セキュリティバイデザインの実践を確実に行い、サイバー人材を育成するというものです。これにより、主要なインフラをより効果的に保護し、景況感を高め、より円滑な国際貿易と協力を通じて経済成長を支援できます」
ソフトウェアサプライチェーンを保護するには、信頼以上のものが必要です。心強いことに、マレーシアのように進歩的でグローバルな政府は、重要インフラと主要産業をサイバー攻撃から保護するために、規制措置を強化し、スキルやテクノロジーに対する投資を増やしています。しかし、不確実な地政学的情勢においては、半導体製造のような広く分布した分野は、世界的な影響を最大化しようと目論む脅威アクターにとって今後もうま味のある標的であり続けます。
だからこそ、熟練した労働者、セキュリティバイデザイン製品、最新の AI 監視ツールなど、すべての側面を網羅したサイバーセキュリティへの包括的なアプローチが、マレーシアの主要産業での信頼構築に寄与し、将来の経済成長の促進に貢献するのです。
マレーシアの組織におけるサイバーセキュリティの現状
コンプライアンスと認証
BlackBerry の調査によると、マレーシアの組織はサイバーセキュリティに高い関心を持って取り組んでおり、58% がセキュリティ意識向上トレーニングをスタッフに提供し、48% がデータ暗号化を採用し、47% が多要素認証を実装しています。
ただし、脆弱性開示の実践と SBOM(ソフトウェア部品表)の使用は引き続き改善が必要な領域であり、それぞれの採用率はわずか 43% と 40% に留まります。
興味深いことに、マレーシアの IT リーダーはサプライヤーのサイバーセキュリティポリシーに大きな信頼を示しており、実に95% ものIT リーダーが、脆弱性を特定して未然に防御するサプライヤーの能力に信頼を表しています。この信頼は厳格なコンプライアンス認証の要求によって支えられており、マレーシアの IT 意思決定者は、コンプライアンスに関するエビデンスの要求において世界をリードしています。
インベントリとモニタリングの課題
サイバーセキュリティの維持には、ソフトウェアインベントリの定期的なモニタリングがきわめて重要です。マレーシアの組織の 20% がほぼリアルタイムでのインベントリを実施する一方で、他の組織は後れをとっており、23% が 1 ~ 3 カ月おき、11% が 3 カ月~ 6 カ月おきにインベントリを実施しています。より頻繁なモニタリングの実現に向けた主な障壁としては、技術的理解の欠如(58%)、効果的なツールの欠如(44%)、可視性の欠如(41%)、熟練した人材の不足(40%)が含まれます。
こうした課題にもかかわらず、ソフトウェアライブラリの可視性とインベントリ管理を強化するツールの需要は堅調です。回答者の 4 分の 3 以上(77%)が、ソフトウェアサプライチェーンをより適切に管理するために、インベントリツールの改善を望むという回答を寄せています。
今後の展望:AI、MDR、熟練した人材の役割
調査の中で、マレーシアの IT リーダーは、熟練した人材の不足や技術的理解の欠如など人的要因が引き続き業界に課題をもたらしていると指摘していました。一方で、心強いことに、サプライヤーと取引する際に高い水準でコンプライアンス認証を求めていることが明らかになりました。
トレーニングやスキルアップの取り組みとともに、最新の AI を活用した MDR(Managed Detection and Response、マネージド検知・対応)テクノロジーを使用して、24 時間 365 日体制で脅威から保護するよう組織をサポートすることもできます。ソフトウェアサプライチェーンの新たな脅威に、IT チームがより少ないリソースで対処し、複雑なセキュリティインシデントをナビゲートできるよう支援します。
まとめ
BlackBerry の調査結果は、マレーシアのソフトウェアサプライチェーンを保護するために強固なサイバーセキュリティ対策が不可欠であることを浮き彫りにしています。セキュリティバイデザインの実践、高度な AI テクノロジー、および包括的なトレーニングプログラムに投資することによって、マレーシアは重要な情報インフラを保護し、経済成長を促進する態勢を整えています。
マレーシアの組織にとって、サイバーセキュリティ強化への道は、ソフトウェアサプライチェーンのリスクを管理する積極的なアプローチから始まります。BlackBerry の調査から得られた知見を活用し、2024 年サイバーセキュリティ法の目標に沿うことによって、企業は回復力に優れたサイバーセキュリティの枠組みを構築できます。この枠組みによって、信頼を育み、貴重な資産を保護し、継続的な成長を支援することが可能となります。
マレーシアの Cybersecurity Center of Excellence の取り組みの例を通じて、情報を入手し、安全を確保し、チームのスキルアップを検討してください。私たちが一丸となることで、マレーシア、そしてさらに広範な地域に、安全なサイバー環境を構築できるのです。
