2024 年 7 月 24 日 Carlos Arnal 著

今日の企業のデジタル環境は、日常業務をサードパーティのソフトウェアに大きく依存しています。この依存によって、ソフトウェアサプライチェーンへの攻撃が急増しており、巧妙化も進んでいます。このような攻撃は、外部ツールやサービスの脆弱性を悪用して不正アクセスを行い、システムを侵害します。外部ソフトウェアソリューションへの依存度が高まるにつれ企業のリスクは増大しており、サプライチェーン全体のセキュリティ強化が不可欠となっています。

ベライゾンの2024年度データ漏洩/侵害調査報告書（DBIR）によると、サプライチェーンにおけるサイバー攻撃は 68％ 増加しています。さらに、2023 年には侵害全体の約 15％ がサードパーティに影響を及ぼしており、2022 年に報告された 9％ という数字に比べて大幅に増加しています。

これは企業にとって新たな課題です。潜在的なサイバー攻撃から顧客やパートナーの機密情報を保護することは、サイバー犯罪者の間で広がる新たな脅威を軽減するために、何よりも優先されなければなりません。

リスク評価：サイバーセキュリティシステムの強い味方

外部のプロバイダを利用する場合、特定のサービスやユーザは社外で管理されるため、組織の一員ではない人がシステムにアクセスすることになります。このため、サプライチェーンの一部を構成するデバイスにおける違反や潜在的な脅威を検出する作業が複雑になり、このチャネルを通じたサイバー攻撃の可能性が高まります。 

この観点から、その解決策は、組織のシステムにアクセスできるすべてのエンドポイントのセキュリティ状況を包括的に分析することにあります。

リスクアセスメントを実施することで、企業はすべてのデバイスについて、現在の脅威と潜在的なリスクや脆弱性の両方をプロアクティブに特定することができます。この情報を基に、企業は検出されたギャップに対処するためにサイバーセキュリティシステムを調整し、攻撃のリスクを軽減し、データと機密情報を効果的に保護することができます。

サイバーセキュリティ侵害を軽減するその他のヒント

デバイスの脆弱性が特定されたら、企業はこれらの弱点から自社を保護するために適切なソリューションを判断し、迅速に修正できるようにすることが重要です。以下に、いくつかの重要な対策を紹介します。

• パッチ管理
  リスクアセスメントによって、デバイスやサーバの脆弱性を特定できます。パッチ管理ソリューションを導入することで、企業はパッチライフサイクル全体を計画、実装、管理し、エンドポイントのサイバーセキュリティを脅かす可能性のある脆弱性を軽減することができます。
• ゼロトラストアプローチの導入
  第三者が企業のシステムに侵入するリスクのひとつは、誰が機密情報にアクセスできるかを制御しづらくなることです。ゼロトラストテクノロジを導入することで、デフォルト拒否アプローチが促進され、社内外を問わず、許可された信頼できるユーザのみがシステムにアクセスできるようになります。
• 統一されたサイバーセキュリティプラットフォームの確立
  潜在的なサードパーティの脆弱性に対処するためには、多層セキュリティを導入することが最善策です。ウォッチガードの統合型セキュリティプラットフォーム（Unified Security Platform,）のような統合型プラットフォームを採用することで、企業はビジネスモデルのあらゆる側面において、ネットワーク、デバイス、ユーザ、データをあらゆる脅威から守るサイバーセキュリティシステムを構築できます。

サイバーセキュリティのプロトコルを確立することは、組織にとって極めて重要な責任です。実施する対策が最大限に効果を発揮するようにするためには、サプライチェーン全体の脆弱性や脅威を特定するために、リスクアセスメントを実施することが不可欠です。

企業のサイバーセキュリティを向上させる方法についてさらに知りたい方は、以下の記事をご覧ください

古いルータが企業のセキュリティを脅かす理由
ランサムウェア攻撃による 2023 年の企業被害額は数百万ドル規模
サイバーセキュリティインシデントの原因：過半数がサイバーハイジーンの不備