Last Updated on 2024-05-07 10:41 by 荒木 啓介
昨年、サプライチェーンを介した侵害が68%増加し、特にランサムウェアや脅迫攻撃で利用されたソフトウェアの脆弱性が原因であった。Verizonの最新のデータ侵害調査報告書(DBIR)によると、2023年には全ての侵害の15%が第三者に関連しており、これは2022年の9%からの顕著な増加である。今年のDBIRでは、サプライチェーン侵害の定義が拡大され、ベンダー、データ管理者、ソフトウェアアップデートを通じた妥協だけでなく、第三者ソフトウェアの脆弱性も含まれるようになった。
Verizon Businessは、脆弱性管理だけでなく、ベンダー管理の問題としてもこれらの問題を捉え、組織がベンダーを選択し、関与する方法について全体的に見直すことを提案している。組織は使用するソフトウェアの全ての潜在的な脆弱性を防ぐことはできないが、ベンダーはその信頼性を示す特定のシグナルを発することがある。例えば、SECの取り組みにより、重大な問題が発生した場合にはベンダーがSECに報告する必要があるため、これらの外部シグナルを利用して組織の姿勢を改善し、ベンダーにより良い姿勢を促すことができる。
【ニュース解説】
昨年、サプライチェーンを介したセキュリティ侵害が68%増加し、特にランサムウェアや脅迫攻撃に利用されたソフトウェアの脆弱性が主な原因であることが、Verizonの最新のデータ侵害調査報告書(DBIR)によって明らかにされました。2023年には、全ての侵害の15%が第三者に関連しており、これは2022年の9%からの顕著な増加です。この増加は、サプライチェーン侵害の定義が拡大されたことも一因です。従来のベンダーやデータ管理者、ソフトウェアアップデートを通じた妥協だけでなく、第三者ソフトウェアの脆弱性も含まれるようになりました。
この変化は、脆弱性管理だけでなく、ベンダー管理の問題としてもこれらの問題を捉えることを提案しています。組織は使用するソフトウェアの全ての潜在的な脆弱性を防ぐことはできませんが、ベンダーはその信頼性を示す特定のシグナルを発することがあります。例えば、米国証券取引委員会(SEC)の取り組みにより、重大な問題が発生した場合にはベンダーがSECに報告する必要があるため、これらの外部シグナルを利用して組織の姿勢を改善し、ベンダーにより良い姿勢を促すことができます。
この報告書から得られる教訓は、サプライチェーンセキュリティが単に内部管理の問題ではなく、ベンダー選定やベンダーとの関係性においても重要な役割を果たすということです。組織は、ベンダーが提供するソフトウェアやサービスのセキュリティ基準を評価し、適切なベンダー管理プロセスを確立することが重要です。これにより、サプライチェーンを通じたセキュリティリスクを軽減し、組織全体のセキュリティ姿勢を向上させることができます。
また、この報告書は、サプライチェーンを通じたセキュリティ侵害の増加が、組織にとってますます重要な課題であることを示しています。サプライチェーンを介した攻撃は、組織が直接コントロールできない部分に依存しているため、これらのリスクを管理するためには、ベンダーとの連携や情報共有が不可欠です。組織は、サプライチェーンセキュリティを強化するために、ベンダーとの関係を再評価し、セキュリティ基準の遵守を確実にする必要があります。
このような取り組みは、将来的にサプライチェーンを通じたセキュリティ侵害のリスクを減少させるだけでなく、組織のセキュリティ文化を強化し、より安全なデジタル環境の構築に貢献することが期待されます。
from Supply Chain Breaches Up 68% Year Over Year, According to DBIR.
