大企業の取引先起因被害64％

株式会社アシュアードは、従業員数1,000名以上の大手企業の情シス部門300人を対象に「取引先企業のセキュリティ評価」に関する実態調査を実施し、結果を公表した。大手企業の半数以上で取引先企業を起因とした深刻なセキュリティ被害が発生しており、取引先まで含めたトータルのセキュリティ管理が喫緊の課題であるとした。

主な結果（サマリー）

• 73％が取引先企業に対しセキュリティ上の不安を感じている。
• 64％が取引先起因の情報漏えい、またはその可能性を経験。
• 55.3％が業務停止や遅延の影響を経験。
• 評価の最大課題は「評価項目の網羅性／最新性」と「外部環境の変化に応じた定期更新の困難さ」で、ともに47.1％。

被害の具体像

取引先起因の事例として、最も多かったのは「取引先システムでのマルウェア感染（ランサムウェア含む）」26.3％、次いで「取引先システム経由で自社にサイバー攻撃やマルウェア感染」25.3％であった。業務停止や遅延などの影響は55.3％で確認され、とくに「取引先側のマルウェア感染に伴うシステム停止で自社に影響」29.7％が最多であった。

取引先評価の実施状況と強化の動き

取引先セキュリティ評価は「新規契約時・契約後も定期的」73.3％、これに「新規契約時のみ」を加えると合計85.6％が実施している。管理体制の強化については、「直近で強化した」27.3％、「今後強化予定」44.7％で、計72％が前向きな姿勢を示す。一方で「何をしたらよいか分からない」11.0％も存在する。評価実施の主な理由は、「リスク低減／回避」72.4％、「社内規定」60.7％、「顧客からの信頼維持」52.9％であった。

評価方法と運用の課題

情報収集の方法は、「自社でセキュリティチェックシートを作成し取引先に回答を依頼」71.2％が最も主流であった。運用課題は9割以上の企業に及び、上位は以下のとおり。

• 評価項目の網羅性／最新性：47.1％
• 外部環境の変化に応じた定期更新が困難：47.1％
• 取得できる情報が限定的：37.4％
• 適切に評価できているか不安：32.7％
• 評価基準が曖昧・属人的：28.4％

課題解決への姿勢

評価に課題を感じている企業のうち、「解決したい／対策予定あり」35.2％、「解決したい／対策を検討中」44.2％で、計79.4％が改善に意欲を示した。

出典：大手企業の64％で取引先企業に起因したセキュリティ被害が発生【従業員数1,000名以上の大手企業の情シス部門300人に調査（アシュアード）】