※本リリースは、2023年12月6日に米国SecurityScorecardより発表されたプレスリリース ( https://securityscorecard.com/company/press/energy-sector-research/ ) の抄訳です。
SecurityScorecard株式会社 ( https://securityscorecard.com/jp/ )(本社:米国、ニューヨーク州、CEO:アレクサンドル・ヤンポルスキー、以下SecurityScorecard、日本法人代表取締役社長 藤本大)は、エネルギー業界における世界の主要企業の90%が、サードパーティによるデータ侵害を過去12ヶ月に経験していることを明らかにする調査レポートを発表しました。本調査レポートにより、エネルギー業界は、攻撃者が業界のベンダーエコシステムを標的とするサードパーティリスクによる重大な脅威に晒されていることが明らかとなりました。
SecurityScorecardは、AIを活用したデータ侵害に関するインテリジェンスと精鋭の脅威リサーチャーの分析により、サプライチェーン全体における新生のサイバーリスクを積極的に特定、調査、管理しています。 本調査結果は以下の通りです。
主な調査結果
- 世界の大手エネルギー企業の90%が、過去12ヶ月にサードパーティによる情報漏洩を経験
- 米エネルギー企業上位10社すべてが、サードパーティによる情報漏えいを経験
- 調査対象となったエネルギー企業の92%がフォースパーティによる情報漏えいを経験
- エネルギー業界の企業の33%は、セキュリティレーティングの結果がC以下、つまり侵害される可能性が高い
- 過去90日以内に、サードパーティの侵害に関連する264件のインシデントを特定
- 過去6ヶ月で最も多く蔓延したサードパーティの脆弱性はMOVEitで、世界中で数百の企業に影響
SecurityScorecard 脅威リサーチ&インテリジェンス担当シニアバイスプレジデントであるライアン・シェルストビトフは、次のように述べています。
「米国でのパイプラインを狙った大規模なランサムウェア攻撃から2年以上が経過しましたが、世界にはサイバーリスクを測定するための共通のフレームワークがまだ存在していません。サイバーセキュリティに関する透明性と情報共有は、国家安全保障にとって極めて重要なものです」
SecurityScorecardが2,000社以上のサードパーティベンダーを分析した結果、自社で侵害を経験したベンダーはわずか4%であることが判明しました。しかし、調査対象となったエネルギー企業の90%がサードパーティリスクに悩まされています。攻撃者が普及しているソフトウェアの侵害に成功すると、そのソフトウェアを利用しているすべての組織にアクセスできる可能性が生じます。
サードパーティエコシステムに対するサイバー攻撃を過小評価する企業が大多数
米国証券取引委員会(SEC)の新しいサイバーインシデント開示要件に引用されている ( https://securityscorecard.com/blog/3-takeways-new-sec-cyber-risk-disclosure-rules/ ) ように、SecurityScorecardの調査では、企業の98%が過去2年間に侵害を経験したことのあるサードパーティベンダーの少なくとも1社と取引していることが明らかになりました。
Fortune 500のCISO(最高情報セキュリティ責任者)であり、SecurityScorecard Cybersecurity Advisory Boardのシニアアドバイザー兼会長であるジム・ルースは、次のように述べています。「希望と祈りは役立つかもしれませんが、明らかに持続可能な戦略ではありません。急増するサプライチェーン攻撃を防ぐには、デジタルエコシステムにおけるリスクを管理するための自動化されたワークフローを起動するリアルタイムデータを体系的に適用する必要があります」
調査概要
米国、英国、フランス、ドイツ、イタリアの大手エネルギー企業(石炭、石油、天然ガス、電力部門)の売上高上位48社を対象にサイバーセキュリティプロファイルを分析し、サードパーティおよびフォースパーティを含む21,000以上のドメインを対象に調査を実施しました。
参考情報
2023 SecurityScorecardエネルギー部門サードパーティサイバーリスクレポート ( https://resources.securityscorecard.com/research/energy-sector )(英語)
ベンダーのセキュリティ体制をオンデマンドで評価 ( https://securityscorecard.com/solutions/third-party-risk-management/ )(英語)
SecurityScorecardについて
SecurityScorecard Inc.は、アメリカのニューヨーク州に本社を置く、2013年に設立されたサイバー セキュリティ レーティングの世界的リーディング カンパニーです。1,000万以上の組織を継続的に評価している特許取得済みのレーティング技術は16,000以上の組織で、自社のリスクマネジメント、サプライチェーン リスク マネジメント、経営陣向けのレポート、サイバー デュー デリジェンス、またサイバー保険の料率算定などに活用されています。自社グループ・取引先のセキュリティ リスクを定量的に可視化し、サイバー攻撃による侵害発生の可能性を低減するための具体的なアクションを促すことにより、世界をより安全な場所にすることを目標にしています。
www.securityscorecard.com/jp/
日本法人社名 : SecurityScorecard株式会社(セキュリティスコアカード)
本社所在地 : 東京都千代田区丸の内一丁目 1 番 3 号
代表取締役社長 : 藤本 大